微软将修复谷歌工程师发现的“新奇bug类”

Windows 10 19H1是Windows操作系统的下一个主要版本，它将包含一系列针对微软称之为“新奇bug类”的修复程序，并且已由Google安全工程师发现。

这些补丁不仅修复了一些Windows内核代码以防止潜在的攻击，而且还标志着谷歌和微软安全团队之间近两年的合作结束，这本身就是一个罕见的事件。

什么是这个“新奇bug类”

所有这一切都始于2017年，当时Google的Project Zero精英漏洞搜寻团队的安全研究员James Forshaw发现了攻击Windows系统的新方法。

Froshaw发现在具有正常权限（用户模式）的Windows系统上运行的恶意应用程序可以利用本地驱动程序和Windows I / O管理器（促进驱动程序和Windows内核之间通信的子系统）来运行恶意命令。最高的Windows权限（内核模式）。

Forshaw发现的是一种执行先前未记录的特权提升（EoP）攻击的新方法。

但是，尽管找到了一些安全研究人员后来称之为“整洁”的错误，但当他无法重现成功的攻击时，Forshaw最终还是碰壁了。

原因是Forshaw对Windows I / O Manager子系统的工作原理并不了解，以及他如何配置驱动程序“启动器”功能和内核“接收器”功能以实现完全攻击[见下图]。
Windows EoP类攻击
合作至关重要

为了解决这个问题，Forshaw联系了唯一可以提供帮助的人--Microsoft的工程师团队。

“这导致与Redmond 2017 [安全会议]的各个团队在Redmond举行会议，制定了一项计划，让Microsoft使用他们的源代码访问来发现Windows内核和驱动程序代码库中此类错误的程度， “Forshaw说。

微软在他离开时接受了Forshaw的研究，并追踪了哪些是易受攻击的以及需要修补的内容。

在研究期间，微软团队发现自Windows XP发布以来所有Windows版本都容易受到Forshaw的EoP攻击程序的攻击。

负责此项指控的微软工程师史蒂文·亨特表示，Windows代码共有11个潜在的启动器和16个可能被滥用于攻击的潜在接收器。

好消息 - 这11个启动器和16个接收器功能中的任何一个都可以互连用于攻击滥用Windows安装附带的默认驱动程序之一。

坏消息 - 自定义驱动程序可能会促进Windows团队在其研究期间无法调查的攻击。

出于这个原因，一些补丁将附带下一个Windows 10版本，计划在几周内发布，以防止任何潜在的攻击。

“大多数这些修复程序都有望在Windows 10 19H1中发布，有一些修复因为进一步的兼容性测试和/或因为它们存在的组件在默认情况下被弃用和禁用，”Hunter说。 “我们敦促所有内核驱动程序开发人员检查他们的代码，以确保正确处理IRP请求和防御性地使用文件开放API。”

有关这种新型EoP攻击方法的更多技术细节可以在Forshaw和Hunter的报告中找到。

微软安全响应中心（MSRC）和谷歌的Project Zero团队之间的合作也让信息安全社区的许多人感到惊讶，因为在过去的某个时刻，这两个团队之间存在着一种小小的不和，并且公开披露彼此产品中未修补的缺陷。