导读 Windows 10 19H1是Windows操作系统的下一个主要版本,它将包括微软所谓的“新bug类”的一系列修复,这是一名谷歌安全工程师发现的。这…
Windows 10 19H1是Windows操作系统的下一个主要版本,它将包括微软所谓的“新bug类”的一系列修复,这是一名谷歌安全工程师发现的。
这些补丁不仅修复了一些Windows内核代码,以防止潜在的攻击,而且还标志着谷歌和微软安全团队近两年合作的结束,这本身就是一个罕见的事件。
这一切都始于2017年,当时谷歌项目零精英漏洞追踪小组的安全研究员詹姆斯·福肖发现了一种攻击Windows系统的新方法。
Froshaw发现,在Windows系统上运行的具有正常权限(用户模式)的恶意应用程序可以访问本地驱动程序和Windows I/O管理器(一个促进驱动程序和Windows内核之间通信的子系统),从而运行具有最高Windows特权的恶意命令(内核模式)。
福肖发现了一种新颖的执行提升特权(EoP)攻击的方法,这是以前没有记录的。
尽管发现了一些安全研究人员后来称之为“整洁”的漏洞,福肖最终还是因为无法复制成功的攻击而碰壁。
原因是Forshaw并不了解Windows I/O管理器子系统的工作原理,也不知道如何将驱动程序的“启动程序”函数和内核的“接收程序”函数结合起来进行完整的攻击(见下图)。
为了解决这个问题,福肖联系了唯一能提供帮助的人——微软的工程师团队。
Forshaw说:“这导致了在雷德蒙德(Redmond)举行的Bluehat 2017(安全会议)上,微软与多个团队开会,计划利用他们的源代码访问来发现Windows内核和驱动程序代码库中此类bug的程度。”
微软从福肖中断的地方继承了他的研究,并追踪了哪些是易受攻击的,哪些是需要修补的。
在研究过程中,微软团队发现,自从Windows XP发布后,所有的Windows版本都容易受到Forshaw的EoP攻击程序的攻击。
微软工程师史蒂文亨特(Steven Hunter)领导了这次行动,他说,Windows代码共有11个潜在的发起者和16个潜在的接收者,可以被滥用来发动攻击。
好消息是,这11个启动程序和16个接收程序都不能相互连接,从而防止攻击滥用Windows安装附带的一个默认驱动程序。
坏消息——自定义驱动程序可能会促进Windows团队在研究期间无法调查的攻击。
出于这个原因,下一个Windows 10版本将发布一些补丁,计划在几周后发布,以防止任何潜在的攻击。
Hunter说:“大多数修复程序将在Windows 10 19H1中发布,有一些将推迟进行进一步的兼容性测试,或者因为它们所在的组件在默认情况下是不支持和禁用的。”“我们敦促所有内核驱动程序开发人员检查他们的代码,以确保正确处理IRP请求和防御使用文件开放api。”
更多关于这种新的EoP攻击方法的技术细节可以在Forshaw和Hunter的报告中找到。
微软安全响应中心(MSRC)和谷歌的Project Zero团队之间的合作也让infosec社区中的许多人感到惊讶,因为在过去的某个时候,这两个团队有过小的争执,并且公开披露彼此产品中未修复的缺陷。
微软和Project Zero的人可能偶尔会有一些抱怨,但这是一种为了更大的利益而经常发生的协作。pic.twitter.com/HmGQUX1OfF
@tiraniddo和@_strohu在寻找一类Windows内核驱动程序vulns。这就是当您将逻辑缺陷发现专家、MSRC安全工程师和强大的静态分析工具(如Semmle:)组合在一起时所发生的事情
这种类型的合作发生在MS &之间的许多层次竞争对手。那些由avg员工驱动的游戏通常都是非常积极的。:)
未经允许不得转载:87头条 » 微软将修复谷歌工程师发现的新bug类