微软修复Google工程师发现的 新错误类

导读 Windows 10 19H1是Windows操作系统的下一个主要版本,它将包括针对Microsoft所谓的新颖的bug类的一系列修复程序,这些修复程序已由Google

Windows 10 19H1是Windows操作系统的下一个主要版本,它将包括针对Microsoft所谓的“新颖的bug类”的一系列修复程序,这些修复程序已由Google安全工程师发现。

这些补丁不仅修复了一些Windows内核代码以防止潜在的攻击,而且还标志着Google和Microsoft安全团队之间为期近两年的合作结束了,这本身就是罕见的事件。

这是什么“新错误类”

所有这一切始于2017年,当时Google零项目精英漏洞搜寻团队的安全研究员James Forshaw找到了一种攻击Windows系统的新方法。

Froshaw发现,在具有正常权限(用户模式)的Windows系统上运行的恶意应用程序,可以利用本地驱动程序和Windows I / O Manager(促进驱动程序与Windows内核之间通信的子系统)来运行带有Windows最高权限(内核模式)。

Forshaw发现的是一种执行特权提升(EoP)攻击的新颖方法,以前没有记录。

但是,尽管找到了一些安全研究人员后来称之为“整洁”的错误,但是当Forshaw无法再现成功的攻击时,他最终还是碰壁了。

原因是Forshaw不了解Windows I / O Manager子系统的工作原理,以及如何将驱动程序“启动程序”功能和内核“接收程序”功能配对以进行全面攻击[见下图]。

合作至关重要

为解决此问题,Forshaw联系了唯一可以提供帮助的人员-Microsoft的工程师团队。

“这导致了在Redmond的[Bluehat 2017 [安全性会议]上与各个团队的会面,在那里制定了一项计划,供Microsoft使用其源代码访问来发现Windows内核和驱动程序代码库中此类Bug的程度,弗肖说。

微软在他停下的地方继续研究了Forshaw的研究,并追踪了哪些漏洞和需要修补的漏洞。

在研究过程中,微软团队发现自Windows XP发行以来的所有Windows版本都容易受到Forshaw的EoP攻击程序的攻击。

负责这项工作的微软工程师史蒂芬·亨特(Steven Hunter)表示,Windows代码总共包含11个潜在的启动程序和16个潜在的接收程序,这些滥用程序可能会被滥用。

好消息-这11个启动器和16个接收器功能中没有一个可以相互连接,以进行攻击,从而滥用Windows安装附带的默认驱动程序之一。

坏消息-自定义驱动程序可能会促进Windows团队在研究期间无法调查的攻击。

因此,某些补丁程序将与计划在几周后发布的下一版Windows 10一起提供,以防止任何潜在的攻击。

“这些修复程序中的大多数都有望在Windows 10 19H1中发布,其中一些修复程序将进行进一步的兼容性测试,并且/或者因为默认情况下不建议使用和禁用其中存在的组件,” Hunter说。“我们敦促所有内核驱动程序开发人员检查他们的代码,以确保IRP请求的正确处理和文件开放API的防御性使用。”

Forshaw和Hunter的报告中提供了有关这种新颖的EoP攻击方法的更多技术细节。

微软安全响应中心(MSRC)与Google的Project Zero团队之间的合作也使信息安全界的许多人感到惊讶,因为在过去的某一时刻,这两个团队之间存在着小小的争执,并且众所周知会公开披露彼此产品中未修补的缺陷。

微软和零号项目的人可能偶尔会公开披露信息,但这是一种无时无刻不在发生的合作,以造福更大。pic.twitter.com/HmGQUX1OfF

-Ryan Naraine(@ryanaraine)2019年3月14日

@tiraniddo和@_strohu之间的精妙协作,他们正在寻找一类Windows内核驱动程序漏洞。当您将逻辑缺陷发现专家,MSRC安全工程师和功能强大的静态分析工具(例如Semmle)结合在一起时,会发生这种情况:) https://t.co/VWVCw5mTml

-Matt Miller(@epakskape)2019年3月14日

这种类型的协作发生在MS及其竞争对手之间的许多层次上。由平均员工驱动的员工通常是积极的。:)

-Rey Bango(@reybango)2019年3月14日