Google揭发了未打补丁的Windows 0day漏洞

　　谷歌的Zero团队已经公开了Windows后台打印程序API中一个未打补丁的0day安全漏洞的详细信息，一些威胁者可能会利用该漏洞执行任意代码。

　　在9月24日Microsoft未能披露后的90天内未能修补此漏洞之后，未打补丁的漏洞细节被公开披露。

　　该漏洞最初被追踪为CVE-2020-0986，涉及GDI Print/Print Spooler API(“splwow64.exe”)中的权限提升漏洞。漏洞由Trend Micro's Zero Day Initiative (ZDI) 的匿名用户与2019年12月下旬报告给Microsoft。

　　但是，由于六个月内一直没有看到补丁，ZDI最终于今年5月19日发布了一份公开咨询，并在随后的一场针对一家不知名韩国公司的“Operation PowerFall”运动中遭到利用。

　　“splwow64.exe”是Windows核心系统的一个二进制文件，它允许32位应用程序连接到Windows系统上的64位打印机后台打印程序服务，实现了本地过程调用(LPC)服务器，其他进程可以使用该服务器访问打印功能。

　　攻击者成功利用此漏洞后可以操纵“splwow64.exe”进程的内存以实现内核模式下的任意代码执行，最终使用它来安装恶意程序、查看更改或删除数据、创建具有完全用户权限的新帐户等等。

　　然而，要实现这一目标，攻击者首先必须登录到所讨论的目标系统。

　　尽管微软最终在June 2019 Patch Tuesday发布该漏洞的补丁，但谷歌安全团队的新发现表明该漏洞尚未得到完全修复。

　　Google Project Zero研究人员Maddie Stone在一篇文章中写道：“漏洞仍然存在，只是攻击者需要改变攻击方法。”

　　Stone详细描述道：“最初的问题是任意指针取消引用，这使攻击者能够控制指向memcpy的src和dest指针”，“’fix‘只是将指针更改为偏移量，这仍然可以控制memcpy的参数。”

　　最新报告的特权提升漏洞被认定为CVE-2020-17008，由于“测试中发现的问题”，微软在11月承诺进行初步修复后，预计将于2021年1月12日由微软解决。

　　Stone还共享了CVE-2020-17008的概念验证(PoC)漏洞利用代码，该代码是基于卡巴斯基针对CVE-2020-0986发布的POC。

　　Stone说： “今年发生了太多的0day漏洞事件了，并且这些漏洞都未被进行很好的修复，因此常常被攻击者利用”，“当在野0day未完全修复时，攻击者可以重新利用其漏洞知识和利用方法，轻松开发新的0day。”

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!