微软将修复谷歌工程师发现的“新奇bug类”

2019-03-16 07:36:44爱云资讯昕梓

Windows 10 19H1是Windows操作系统的下一个主要版本,它将包含一系列针对微软称之为“新奇bug类”的修复程序,并且已由Google安全工程师发现。

这些补丁不仅修复了一些Windows内核代码以防止潜在的攻击,而且还标志着谷歌和微软安全团队之间近两年的合作结束,这本身就是一个罕见的事件。

什么是这个“新奇bug类”

所有这一切都始于2017年,当时Google的Project Zero精英漏洞搜寻团队的安全研究员James Forshaw发现了攻击Windows系统的新方法。

Froshaw发现在具有正常权限(用户模式)的Windows系统上运行的恶意应用程序可以利用本地驱动程序和Windows I / O管理器(促进驱动程序和Windows内核之间通信的子系统)来运行恶意命令。最高的Windows权限(内核模式)。

Forshaw发现的是一种执行先前未记录的特权提升(EoP)攻击的新方法。

但是,尽管找到了一些安全研究人员后来称之为“整洁”的错误,但当他无法重现成功的攻击时,Forshaw最终还是碰壁了。

原因是Forshaw对Windows I / O Manager子系统的工作原理并不了解,以及他如何配置驱动程序“启动器”功能和内核“接收器”功能以实现完全攻击[见下图]。
Windows EoP类攻击

图像:微软
合作至关重要

为了解决这个问题,Forshaw联系了唯一可以提供帮助的人--Microsoft的工程师团队。

“这导致与Redmond 2017 [安全会议]的各个团队在Redmond举行会议,制定了一项计划,让Microsoft使用他们的源代码访问来发现Windows内核和驱动程序代码库中此类错误的程度, “Forshaw说。

微软在他离开时接受了Forshaw的研究,并追踪了哪些是易受攻击的以及需要修补的内容。

在研究期间,微软团队发现自Windows XP发布以来所有Windows版本都容易受到Forshaw的EoP攻击程序的攻击。

负责此项指控的微软工程师史蒂文·亨特表示,Windows代码共有11个潜在的启动器和16个可能被滥用于攻击的潜在接收器。

好消息 - 这11个启动器和16个接收器功能中的任何一个都可以互连用于攻击滥用Windows安装附带的默认驱动程序之一。

坏消息 - 自定义驱动程序可能会促进Windows团队在其研究期间无法调查的攻击。

出于这个原因,一些补丁将附带下一个Windows 10版本,计划在几周内发布,以防止任何潜在的攻击。

“大多数这些修复程序都有望在Windows 10 19H1中发布,有一些修复因为进一步的兼容性测试和/或因为它们存在的组件在默认情况下被弃用和禁用,”Hunter说。 “我们敦促所有内核驱动程序开发人员检查他们的代码,以确保正确处理IRP请求和防御性地使用文件开放API。”

有关这种新型EoP攻击方法的更多技术细节可以在Forshaw和Hunter的报告中找到。

微软安全响应中心(MSRC)和谷歌的Project Zero团队之间的合作也让信息安全社区的许多人感到惊讶,因为在过去的某个时刻,这两个团队之间存在着一种小小的不和,并且公开披露彼此产品中未修补的缺陷。
相关文章
热门文章
头条文章
重点文章
推荐文章
热点文章
关于我们|联系我们|免责声明|会展频道
冀ICP备2022007386号-1 冀公网安备 13108202000871号 爱云资讯 Copyright©2018-2023