微软将修复谷歌工程师发现的“新奇bug类”
2019-03-16 07:36:44爱云资讯
Windows 10 19H1是Windows操作系统的下一个主要版本,它将包含一系列针对微软称之为“新奇bug类”的修复程序,并且已由Google安全工程师发现。
这些补丁不仅修复了一些Windows内核代码以防止潜在的攻击,而且还标志着谷歌和微软安全团队之间近两年的合作结束,这本身就是一个罕见的事件。
什么是这个“新奇bug类”所有这一切都始于2017年,当时Google的Project Zero精英漏洞搜寻团队的安全研究员James Forshaw发现了攻击Windows系统的新方法。
Froshaw发现在具有正常权限(用户模式)的Windows系统上运行的恶意应用程序可以利用本地驱动程序和Windows I / O管理器(促进驱动程序和Windows内核之间通信的子系统)来运行恶意命令。最高的Windows权限(内核模式)。
Forshaw发现的是一种执行先前未记录的特权提升(EoP)攻击的新方法。
但是,尽管找到了一些安全研究人员后来称之为“整洁”的错误,但当他无法重现成功的攻击时,Forshaw最终还是碰壁了。
原因是Forshaw对Windows I / O Manager子系统的工作原理并不了解,以及他如何配置驱动程序“启动器”功能和内核“接收器”功能以实现完全攻击[见下图]。
Windows EoP类攻击
图像:微软
为了解决这个问题,Forshaw联系了唯一可以提供帮助的人--Microsoft的工程师团队。
“这导致与Redmond 2017 [安全会议]的各个团队在Redmond举行会议,制定了一项计划,让Microsoft使用他们的源代码访问来发现Windows内核和驱动程序代码库中此类错误的程度, “Forshaw说。
微软在他离开时接受了Forshaw的研究,并追踪了哪些是易受攻击的以及需要修补的内容。
在研究期间,微软团队发现自Windows XP发布以来所有Windows版本都容易受到Forshaw的EoP攻击程序的攻击。
负责此项指控的微软工程师史蒂文·亨特表示,Windows代码共有11个潜在的启动器和16个可能被滥用于攻击的潜在接收器。
好消息 - 这11个启动器和16个接收器功能中的任何一个都可以互连用于攻击滥用Windows安装附带的默认驱动程序之一。
坏消息 - 自定义驱动程序可能会促进Windows团队在其研究期间无法调查的攻击。
出于这个原因,一些补丁将附带下一个Windows 10版本,计划在几周内发布,以防止任何潜在的攻击。
“大多数这些修复程序都有望在Windows 10 19H1中发布,有一些修复因为进一步的兼容性测试和/或因为它们存在的组件在默认情况下被弃用和禁用,”Hunter说。 “我们敦促所有内核驱动程序开发人员检查他们的代码,以确保正确处理IRP请求和防御性地使用文件开放API。”
有关这种新型EoP攻击方法的更多技术细节可以在Forshaw和Hunter的报告中找到。
微软安全响应中心(MSRC)和谷歌的Project Zero团队之间的合作也让信息安全社区的许多人感到惊讶,因为在过去的某个时刻,这两个团队之间存在着一种小小的不和,并且公开披露彼此产品中未修补的缺陷。
相关文章
- TCL空调发布小蓝翼P7,联手海思、微软定义新一代空调
- 2023世界互联网大会乌镇峰会:微软新必应特邀登场
- 创投变辩辨:苹果VS微软,谁决定MR的未来?
- 微软全面展望大模型语言技术,微美全息引领自然语言人机交互突破奋进AI时代
- 微软财报大超预期AI成主要驱动力,微美全息把握趋势加速AIGC技术商业化
- 数字人直播热潮涌动,微软/微美全息点燃热情共探AI+数字人发展范式
- 微软全球资深副总裁张祺:聚焦AI大航海时代新契机、新模式、新动能
- 假如“微软断供”,国产操作系统统信UOS能顶上吗?
- 奥比中光获微软授权Azure Kinect技术产品线,携手赋能全球开发者
- 金山办公旗下WPS已上线的单元格插入图片功能,微软刚开启测试
- 微软Build年度大会开幕构建超级AI生态,微美全息超前点播AIGC技术创新
- 携手微软,中国版Adobe万兴科技抢抓AIGC风口
- 获微软全球首批授权,汉朔AIoT解决方案将集成GPT实现零售科技新高度
- 微软Windows中的零日漏洞被用于Nokoyawa勒索软件攻击中
- AI厂商们杀疯了!微软Adobe同时发布AI绘画新品 万兴科技旗下万兴爱画焕新升级
- 微软裁员正在进行 人工智能(AI)部门整个道德和社会团队被裁
热门文章
头条文章
重点文章
推荐文章
热点文章