20 декабря 2018 года ИБ-специалистка, известная под псевдонимом SandboxEscaper, опубликовала в сети PoC-эксплоит для уязвимости нулевого дня в Windows. Напомню, что проблема касалась работы ReadFile, функциональности, которую Windows использует для чтения данных из файлов и I/O устройств. Спустя неделю после этой публикации, SandboxEscaper обнародовала в сети еще один эксплоит, известный под названием AngryPolarBearBug. Данная проблема похожа на первую, но связана с системой Windows Error Reporting (WER) и позволяет малвари перезаписывать и подменять любые файлы в системе.
Так как инженеры Microsoft не адресовали этим уязвимостям исправлений во время январского «вторника обновлений», за дело взялись сторонние специалисты из компании ACROS Security. Эксперты сообщили, что патч для второй вышеупомянутой проблемы был включен в состав их продукта 0patch и уже доступен для пользователей 64-разрядной Windows 10 (1803). Также в компании заверили, что уже работают над «заплаткой» для устранения уязвимости, связанной с ReadFile.
0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.
Нужно отметить, что специалисты ACROS Security не впервые опережают Microsoft и выпускают патчи раньше релиза официальных исправлений. В прошлом году так называемые «микропатчи» в составе 0patch также выходили для проблем, связанных с Windows GDI и работой Windows Task Scheduler, а именно механизма Advanced Local Procedure Call (ALPC).