Windows 10 19H1是Windows操作系統(tǒng)的下一個(gè)主要版本，它將包括針對(duì)Microsoft所謂的“新穎的bug類”的一系列修復(fù)程序，這些修復(fù)程序已由Google安全工程師發(fā)現(xiàn)。

這些補(bǔ)丁不僅修復(fù)了一些Windows內(nèi)核代碼以防止?jié)撛诘墓?，而且還標(biāo)志著Google和Microsoft安全團(tuán)隊(duì)之間為期近兩年的合作結(jié)束了，這本身就是罕見的事件。

這是什么“新錯(cuò)誤類”

所有這一切始于2017年，當(dāng)時(shí)Google零項(xiàng)目精英漏洞搜尋團(tuán)隊(duì)的安全研究員James Forshaw找到了一種攻擊Windows系統(tǒng)的新方法。

Froshaw發(fā)現(xiàn)，在具有正常權(quán)限(用戶模式)的Windows系統(tǒng)上運(yùn)行的惡意應(yīng)用程序，可以利用本地驅(qū)動(dòng)程序和Windows I / O Manager(促進(jìn)驅(qū)動(dòng)程序與Windows內(nèi)核之間通信的子系統(tǒng))來(lái)運(yùn)行帶有Windows最高權(quán)限(內(nèi)核模式)。

Forshaw發(fā)現(xiàn)的是一種執(zhí)行特權(quán)提升(EoP)攻擊的新穎方法，以前沒(méi)有記錄。

但是，盡管找到了一些安全研究人員后來(lái)稱之為“整潔”的錯(cuò)誤，但是當(dāng)Forshaw無(wú)法再現(xiàn)成功的攻擊時(shí)，他最終還是碰壁了。

原因是Forshaw不了解Windows I / O Manager子系統(tǒng)的工作原理，以及如何將驅(qū)動(dòng)程序“啟動(dòng)程序”功能和內(nèi)核“接收程序”功能配對(duì)以進(jìn)行全面攻擊[見下圖]。

合作至關(guān)重要

為解決此問(wèn)題，F(xiàn)orshaw聯(lián)系了唯一可以提供幫助的人員-Microsoft的工程師團(tuán)隊(duì)。

“這導(dǎo)致了在Redmond的[Bluehat 2017 [安全性會(huì)議]上與各個(gè)團(tuán)隊(duì)的會(huì)面，在那里制定了一項(xiàng)計(jì)劃，供Microsoft使用其源代碼訪問(wèn)來(lái)發(fā)現(xiàn)Windows內(nèi)核和驅(qū)動(dòng)程序代碼庫(kù)中此類Bug的程度，弗肖說(shuō)。

微軟在他停下的地方繼續(xù)研究了Forshaw的研究，并追蹤了哪些漏洞和需要修補(bǔ)的漏洞。

在研究過(guò)程中，微軟團(tuán)隊(duì)發(fā)現(xiàn)自Windows XP發(fā)行以來(lái)的所有Windows版本都容易受到Forshaw的EoP攻擊程序的攻擊。

負(fù)責(zé)這項(xiàng)工作的微軟工程師史蒂芬·亨特(Steven Hunter)表示，Windows代碼總共包含11個(gè)潛在的啟動(dòng)程序和16個(gè)潛在的接收程序，這些濫用程序可能會(huì)被濫用。

好消息-這11個(gè)啟動(dòng)器和16個(gè)接收器功能中沒(méi)有一個(gè)可以相互連接，以進(jìn)行攻擊，從而濫用Windows安裝附帶的默認(rèn)驅(qū)動(dòng)程序之一。

壞消息-自定義驅(qū)動(dòng)程序可能會(huì)促進(jìn)Windows團(tuán)隊(duì)在研究期間無(wú)法調(diào)查的攻擊。

因此，某些補(bǔ)丁程序?qū)⑴c計(jì)劃在幾周后發(fā)布的下一版Windows 10一起提供，以防止任何潛在的攻擊。

“這些修復(fù)程序中的大多數(shù)都有望在Windows 10 19H1中發(fā)布，其中一些修復(fù)程序?qū)⑦M(jìn)行進(jìn)一步的兼容性測(cè)試，并且/或者因?yàn)槟J(rèn)情況下不建議使用和禁用其中存在的組件，” Hunter說(shuō)。“我們敦促所有內(nèi)核驅(qū)動(dòng)程序開發(fā)人員檢查他們的代碼，以確保IRP請(qǐng)求的正確處理和文件開放API的防御性使用。”

Forshaw和Hunter的報(bào)告中提供了有關(guān)這種新穎的EoP攻擊方法的更多技術(shù)細(xì)節(jié)。

微軟安全響應(yīng)中心(MSRC)與Google的Project Zero團(tuán)隊(duì)之間的合作也使信息安全界的許多人感到驚訝，因?yàn)樵谶^(guò)去的某一時(shí)刻，這兩個(gè)團(tuán)隊(duì)之間存在著小小的爭(zhēng)執(zhí)，并且眾所周知會(huì)公開披露彼此產(chǎn)品中未修補(bǔ)的缺陷。

微軟和零號(hào)項(xiàng)目的人可能偶爾會(huì)公開披露信息，但這是一種無(wú)時(shí)無(wú)刻不在發(fā)生的合作，以造福更大。pic.twitter.com/HmGQUX1OfF

-Ryan Naraine(@ryanaraine)2019年3月14日

@tiraniddo和@_strohu之間的精妙協(xié)作，他們正在尋找一類Windows內(nèi)核驅(qū)動(dòng)程序漏洞。當(dāng)您將邏輯缺陷發(fā)現(xiàn)專家，MSRC安全工程師和功能強(qiáng)大的靜態(tài)分析工具(例如Semmle)結(jié)合在一起時(shí)，會(huì)發(fā)生這種情況：) https://t.co/VWVCw5mTml

-Matt Miller(@epakskape)2019年3月14日

這種類型的協(xié)作發(fā)生在MS及其競(jìng)爭(zhēng)對(duì)手之間的許多層次上。由平均員工驅(qū)動(dòng)的員工通常是積極的。:)

-Rey Bango(@reybango)2019年3月14日