新的Win10系统零日由SandboxEscaper发布到Github

名为SandboxEscaper的安全研究人员发布了另一个针对Win10系统的零日攻击.SandboxEscaper 之前已经发布漏洞，但没有告诉微软声称她永远不想再向微软提交漏洞，可能是因为糟糕的过去经历。她还说他们“迫不及待地想要在他们的[微软]软件中销售漏洞。”截至撰写时，@ SandboxEscaper Twitter帐户已暂停，但她确实有博客。

新漏洞被归类为本地特权升级（LPE）漏洞，可用于通过在任务计划程序中使用漏洞利用来为黑客提升在计算机上运行有害代码的权限。幸运的是，黑客不能利用此漏洞在第一时间侵入计算机，但可能会与这些类型的漏洞结合使用。

SandboxEscaper刚刚发布的这段视频以及在POC为Win10系统私法ESC pic.twitter.com/IZZzVFOBZc

- Chase Dardaman（@ CharlesDardaman），2019年5月21日

除了漏洞的源代码外，还发布了一个视频，展示了零日漏洞。虽然它已经过测试并确认可以在Win10系统 32位系统上运行，但我们相信，经过一些修改可以看到它可以在所有版本的Windows上运行，一直运行到Windows XP和Windows Server 2003。

据推测，微软并没有预先警告这个漏洞，所以公司现在必须争先恐后才能解决这个问题。星期二的下一个补丁定于6月中旬，但是，如果它没有及时修复，用户可能要等到他们的系统安全之前的7月。与此同时，犯罪分子可以在零日工作，以攻击世界各地的系统。