微软修复Google工程师发现的 新错误类

Windows 10 19H1是Windows操作系统的下一个主要版本，它将包括针对Microsoft所谓的“新颖的bug类”的一系列修复程序，这些修复程序已由Google安全工程师发现。

这些补丁不仅修复了一些Windows内核代码以防止潜在的攻击，而且还标志着Google和Microsoft安全团队之间为期近两年的合作结束了，这本身就是罕见的事件。

这是什么“新错误类”

所有这一切始于2017年，当时Google零项目精英漏洞搜寻团队的安全研究员James Forshaw找到了一种攻击Windows系统的新方法。

Froshaw发现，在具有正常权限(用户模式)的Windows系统上运行的恶意应用程序，可以利用本地驱动程序和Windows I / O Manager(促进驱动程序与Windows内核之间通信的子系统)来运行带有Windows最高权限(内核模式)。

Forshaw发现的是一种执行特权提升(EoP)攻击的新颖方法，以前没有记录。

但是，尽管找到了一些安全研究人员后来称之为“整洁”的错误，但是当Forshaw无法再现成功的攻击时，他最终还是碰壁了。

原因是Forshaw不了解Windows I / O Manager子系统的工作原理，以及如何将驱动程序“启动程序”功能和内核“接收程序”功能配对以进行全面攻击[见下图]。

合作至关重要

为解决此问题，Forshaw联系了唯一可以提供帮助的人员-Microsoft的工程师团队。

“这导致了在Redmond的[Bluehat 2017 [安全性会议]上与各个团队的会面，在那里制定了一项计划，供Microsoft使用其源代码访问来发现Windows内核和驱动程序代码库中此类Bug的程度，弗肖说。

微软在他停下的地方继续研究了Forshaw的研究，并追踪了哪些漏洞和需要修补的漏洞。

在研究过程中，微软团队发现自Windows XP发行以来的所有Windows版本都容易受到Forshaw的EoP攻击程序的攻击。

负责这项工作的微软工程师史蒂芬·亨特(Steven Hunter)表示，Windows代码总共包含11个潜在的启动程序和16个潜在的接收程序，这些滥用程序可能会被滥用。

好消息-这11个启动器和16个接收器功能中没有一个可以相互连接，以进行攻击，从而滥用Windows安装附带的默认驱动程序之一。

坏消息-自定义驱动程序可能会促进Windows团队在研究期间无法调查的攻击。

因此，某些补丁程序将与计划在几周后发布的下一版Windows 10一起提供，以防止任何潜在的攻击。

“这些修复程序中的大多数都有望在Windows 10 19H1中发布，其中一些修复程序将进行进一步的兼容性测试，并且/或者因为默认情况下不建议使用和禁用其中存在的组件，” Hunter说。“我们敦促所有内核驱动程序开发人员检查他们的代码，以确保IRP请求的正确处理和文件开放API的防御性使用。”

Forshaw和Hunter的报告中提供了有关这种新颖的EoP攻击方法的更多技术细节。

微软安全响应中心(MSRC)与Google的Project Zero团队之间的合作也使信息安全界的许多人感到惊讶，因为在过去的某一时刻，这两个团队之间存在着小小的争执，并且众所周知会公开披露彼此产品中未修补的缺陷。

微软和零号项目的人可能偶尔会公开披露信息，但这是一种无时无刻不在发生的合作，以造福更大。pic.twitter.com/HmGQUX1OfF

-Ryan Naraine(@ryanaraine)2019年3月14日

@tiraniddo和@_strohu之间的精妙协作，他们正在寻找一类Windows内核驱动程序漏洞。当您将逻辑缺陷发现专家，MSRC安全工程师和功能强大的静态分析工具(例如Semmle)结合在一起时，会发生这种情况：) https://t.co/VWVCw5mTml

-Matt Miller(@epakskape)2019年3月14日

这种类型的协作发生在MS及其竞争对手之间的许多层次上。由平均员工驱动的员工通常是积极的。:)

-Rey Bango(@reybango)2019年3月14日

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！