微軟將修復谷歌工程師發(fā)現(xiàn)的“新奇蟲類”

修復程序?qū)赪indows 10 19H1中，計劃在幾周內(nèi)發(fā)布。

Windows 10 19H1是Windows操作系統(tǒng)的下一個主要版本，它將包含一系列針對微軟稱之為“小型錯誤類”的修復程序，并且已由Google安全工程師發(fā)現(xiàn)。

安全

'100個獨特的漏洞和計數(shù)'用于最新的WinRAR安全漏洞

網(wǎng)絡(luò)安全：不要讓小東西給你帶來大問題

為什么安全性是企業(yè)云采用的首要障礙[混合云電視]

紅隊幫助保護開源軟件

這些補丁不僅修復了一些Windows內(nèi)核代碼以防止?jié)撛诘墓?，而且還標志著谷歌和微軟安全團隊之間近兩年的合作結(jié)束，這本身就是一個罕見的事件。

什么是這個“小說蟲類”

所有這一切都始于2017年，當時Google的Project Zero精英漏洞搜尋團隊的安全研究員James Forshaw發(fā)現(xiàn)了攻擊Windows系統(tǒng)的新方法。

Froshaw發(fā)現(xiàn)在具有正常權(quán)限(用戶模式)的Windows系統(tǒng)上運行的惡意應(yīng)用程序可以利用本地驅(qū)動程序和Windows I / O管理器(促進驅(qū)動程序和Windows內(nèi)核之間通信的子系統(tǒng))來運行惡意命令。最高的Windows權(quán)限(內(nèi)核模式)。

Forshaw發(fā)現(xiàn)的是一種執(zhí)行先前未記錄的特權(quán)提升(EoP)攻擊的新方法。

但是，盡管找到了一些安全研究人員后來稱之為“整潔”的錯誤，但當他無法重現(xiàn)成功的攻擊時，F(xiàn)orshaw最終還是碰壁了。

原因是Forshaw對Windows I / O Manager子系統(tǒng)的工作原理并不了解，以及他如何配置驅(qū)動程序“啟動器”功能和內(nèi)核“接收器”功能以實現(xiàn)完全攻擊[見下圖]。

圖像：微軟

合作至關(guān)重要

為了解決這個問題，F(xiàn)orshaw聯(lián)系了唯一可以提供幫助的人--Microsoft的工程師團隊。

“這導致與Redmond 2017 [安全會議]的各個團隊在Redmond舉行會議，制定了一項計劃，讓Microsoft使用他們的源代碼訪問來發(fā)現(xiàn)Windows內(nèi)核和驅(qū)動程序代碼庫中此類錯誤的程度， “Forshaw說。

微軟在他離開時接受了Forshaw的研究，并追蹤了哪些是易受攻擊的以及需要修補的內(nèi)容。

在研究期間，微軟團隊發(fā)現(xiàn)自Windows XP發(fā)布以來所有Windows版本都容易受到Forshaw的EoP攻擊程序的攻擊。

負責此項指控的微軟工程師史蒂文·亨特表示，Windows代碼共有11個潛在的啟動器和16個可能被濫用于攻擊的潛在接收器。

好消息 - 這11個啟動器和16個接收器功能中的任何一個都可以互連用于攻擊濫用Windows安裝附帶的默認驅(qū)動程序之一。

壞消息 - 自定義驅(qū)動程序可能會促進Windows團隊在其研究期間無法調(diào)查的攻擊。

出于這個原因，一些補丁將附帶下一個Windows 10版本，計劃在幾周內(nèi)發(fā)布，以防止任何潛在的攻擊。

“大多數(shù)這些修復程序都有望在Windows 10 19H1中發(fā)布，有一些修復因為進一步的兼容性測試和/或因為它們存在的組件在默認情況下被棄用和禁用，”Hunter說。“我們敦促所有內(nèi)核驅(qū)動程序開發(fā)人員檢查他們的代碼，以確保正確處理IRP請求和防御性地使用文件開放API。”

有關(guān)這種新型EoP攻擊方法的更多技術(shù)細節(jié)可以在Forshaw和Hunter的報告中找到。

微軟安全響應(yīng)中心(MSRC)和谷歌的Project Zero團隊之間的合作也讓信息安全社區(qū)的許多人感到驚訝，因為在過去的某個時刻，這兩個團隊之間存在著一種小小的不和，并且公開披露彼此產(chǎn)品中未修補的缺陷