微軟將修復谷歌工程師發(fā)現的新bug類

Windows 10 19H1是Windows操作系統(tǒng)的下一個主要版本，它將包括微軟所謂的“新bug類”的一系列修復，這是一名谷歌安全工程師發(fā)現的。

這些補丁不僅修復了一些Windows內核代碼，以防止?jié)撛诘墓?，而且還標志著谷歌和微軟安全團隊近兩年合作的結束，這本身就是一個罕見的事件。

這一切都始于2017年，當時谷歌項目零精英漏洞追蹤小組的安全研究員詹姆斯·福肖發(fā)現了一種攻擊Windows系統(tǒng)的新方法。

Froshaw發(fā)現，在Windows系統(tǒng)上運行的具有正常權限(用戶模式)的惡意應用程序可以訪問本地驅動程序和Windows I/O管理器(一個促進驅動程序和Windows內核之間通信的子系統(tǒng))，從而運行具有最高Windows特權的惡意命令(內核模式)。

福肖發(fā)現了一種新穎的執(zhí)行提升特權(EoP)攻擊的方法，這是以前沒有記錄的。

盡管發(fā)現了一些安全研究人員后來稱之為“整潔”的漏洞，福肖最終還是因為無法復制成功的攻擊而碰壁。

原因是Forshaw并不了解Windows I/O管理器子系統(tǒng)的工作原理，也不知道如何將驅動程序的“啟動程序”函數和內核的“接收程序”函數結合起來進行完整的攻擊(見下圖)。

為了解決這個問題，福肖聯系了唯一能提供幫助的人——微軟的工程師團隊。

Forshaw說:“這導致了在雷德蒙德(Redmond)舉行的Bluehat 2017(安全會議)上，微軟與多個團隊開會，計劃利用他們的源代碼訪問來發(fā)現Windows內核和驅動程序代碼庫中此類bug的程度?！?/p>

微軟從福肖中斷的地方繼承了他的研究，并追蹤了哪些是易受攻擊的，哪些是需要修補的。

在研究過程中，微軟團隊發(fā)現，自從Windows XP發(fā)布后，所有的Windows版本都容易受到Forshaw的EoP攻擊程序的攻擊。

微軟工程師史蒂文亨特(Steven Hunter)領導了這次行動，他說，Windows代碼共有11個潛在的發(fā)起者和16個潛在的接收者，可以被濫用來發(fā)動攻擊。

好消息是，這11個啟動程序和16個接收程序都不能相互連接，從而防止攻擊濫用Windows安裝附帶的一個默認驅動程序。

壞消息——自定義驅動程序可能會促進Windows團隊在研究期間無法調查的攻擊。

出于這個原因，下一個Windows 10版本將發(fā)布一些補丁，計劃在幾周后發(fā)布，以防止任何潛在的攻擊。

Hunter說:“大多數修復程序將在Windows 10 19H1中發(fā)布，有一些將推遲進行進一步的兼容性測試，或者因為它們所在的組件在默認情況下是不支持和禁用的?！薄拔覀兌卮偎袃群蓑寗映绦蜷_發(fā)人員檢查他們的代碼，以確保正確處理IRP請求和防御使用文件開放api。”

更多關于這種新的EoP攻擊方法的技術細節(jié)可以在Forshaw和Hunter的報告中找到。

微軟安全響應中心(MSRC)和谷歌的Project Zero團隊之間的合作也讓infosec社區(qū)中的許多人感到驚訝，因為在過去的某個時候，這兩個團隊有過小的爭執(zhí)，并且公開披露彼此產品中未修復的缺陷。

微軟和Project Zero的人可能偶爾會有一些抱怨，但這是一種為了更大的利益而經常發(fā)生的協作。pic.twitter.com/HmGQUX1OfF

@tiraniddo和@_strohu在尋找一類Windows內核驅動程序vulns。這就是當您將邏輯缺陷發(fā)現專家、MSRC安全工程師和強大的靜態(tài)分析工具(如Semmle:)組合在一起時所發(fā)生的事情

這種類型的合作發(fā)生在MS &之間的許多層次競爭對手。那些由avg員工驅動的游戲通常都是非常積極的。:)