微軟的 Windows 系統,經常被外界指出存在不少漏洞,讓黑客有機可乘,而現在SandboxEscaper的安全研究人員就再發佈最新的發現,表示 Windows 10 系統中,有 5 個 Zero-Day 漏洞,黑客可以將一般權限的帳號提升為管理權限。
SandboxEscaper 因為不斷公開 Zero-Day 漏洞,SandboxEscaper 的 Twitter 帳號在去年 12 月底就被停用,到目前尚未恢復,但 SandboxEscaper 依然在 GitHub 繼續公佈研究成果,並上載影片展示利用自己發現的漏洞作攻擊的示範。
圖片來源:bbc
SandboxEscaper 表示,最新的 5 個 Zero-Day 漏洞存在於Windows 10的Task Scheduler,能實現權限提升,讓受限用戶獲得對文件的全部存取權,進行各種操作。不過不能遠端使用漏洞
圖片來源:Conversation
發現Windows Zero-Day 漏洞中,SandboxEscaper歡迎各界開價,但單一漏洞的售價最少高於6萬美元,相信是因為售賣漏洞才是SandboxEscaper被停用Twitter帳號的主要原因。