这些补丁不仅修复了一些Windows内核代码以防止潜在的攻击,而且还标志着谷歌和微软安全团队之间近两年的合作结束,这本身就是一个罕见的事件。
什么是这个“小说虫类”
所有这一切都始于2017年,当时Google的Project Zero精英漏洞搜寻团队的安全研究员James Forshaw发现了攻击Windows系统的新方法。
Froshaw发现在具有正常权限(用户模式)的Windows系统上运行的恶意应用程序可以利用本地驱动程序和Windows I / O管理器(促进驱动程序和Windows内核之间通信的子系统)来运行恶意命令。最高的Windows权限(内核模式)。
Forshaw发现的是一种执行先前未记录的特权提升(EoP)攻击的新方法。
但是,尽管找到了一些安全研究人员后来称之为“整洁”的错误,但当他无法重现成功的攻击时,Forshaw最终还是碰壁了。
原因是Forshaw对Windows I / O Manager子系统的工作原理并不了解,以及他如何配置驱动程序“启动器”功能和内核“接收器”功能以实现完全攻击。
合作至关重要
为了解决这个问题,Forshaw联系了唯一可以提供帮助的人--Microsoft的工程师团队。
“这导致与Redmond 2017 [安全会议]的各个团队在Redmond举行会议,制定了一项计划,让Microsoft使用他们的源代码访问来发现Windows内核和驱动程序代码库中此类错误的程度, “Forshaw说。
微软在他离开时接受了Forshaw的研究,并追踪了哪些是易受攻击的以及需要修补的内容。
在研究期间,微软团队发现自Windows XP发布以来所有Windows版本都容易受到Forshaw的EoP攻击程序的攻击。
负责此项指控的微软工程师史蒂文·亨特表示,Windows代码共有11个潜在的启动器和16个可能被滥用于攻击的潜在接收器。
好消息 - 这11个启动器和16个接收器功能中的任何一个都可以互连用于攻击滥用Windows安装附带的默认驱动程序之一。
坏消息 - 自定义驱动程序可能会促进Windows团队在其研究期间无法调查的攻击。
出于这个原因,一些补丁将附带下一个Windows 10版本,计划在几周内发布,以防止任何潜在的攻击。
“大多数这些修复程序都有望在Windows 10 19H1中发布,有一些修复因为进一步的兼容性测试和/或因为它们存在的组件在默认情况下被弃用和禁用,”Hunter说。“我们敦促所有内核驱动程序开发人员检查他们的代码,以确保正确处理IRP请求和防御性地使用文件开放API。”
有关这种新型EoP攻击方法的更多技术细节可以在Forshaw和Hunter的报告中找到。
微软安全响应中心(MSRC)和谷歌的Project Zero团队之间的合作也让信息安全社区的许多人感到惊讶,因为在过去的某个时刻,这两个团队之间存在着一种小小的不和,并且公开披露彼此产品中未修补的缺陷。 。