谷歌報道:微軟未能修復 Windows 零日漏洞 (CVE-2020-0986)
谷歌的零日項目專家公開披露了Windows中一個修補不當的零日代碼執行漏洞的詳細信息。
谷歌零項目團隊的白帽黑客已經公開披露了Windows中零日漏洞修補不當的詳細信息。
名為的漏洞位于Print Spooler API中,并且威脅參與者可能利用該漏洞執行任意代碼。
在Microsoft在9月24日的負責任披露后90天內未能解決該問題之后,Google專家發布了該漏洞的詳細信息。
該漏洞是由與趨勢科技的零日活動(ZDI)合作的匿名用戶于2019年12月報告給Microsoft的。
“漏洞幾乎與CVE-2019-0880詳細的技術分析完全相同 。就像CVE-2019-0880一樣,此漏洞允許攻擊者使用splwow64特權地址空間中的任意參數調用memcpy。任意參數在LPC消息中發送到splwow64。” 閱讀安全公告。 “在這種情況下,易受攻擊的消息類型為0x6D,這是對DocumentEvent的調用 。從GdiPrinterThunk調用DocumentEvent之后,只要將LPC消息中的特定字段設置為正確的值,就會調用memcpy。此memcpy調用位于gdi32full!GdiPrinterThunk + 0x1E85A。”
Splwow64.exe是Windows核心系統文件,它允許32位應用程序與x64 Windows構建上的64位打印機后臺處理程序服務連接。
2010年5月19日,ZDI發布了一份通報,該威脅參與者在名為“Operation PowerFall”的活動中利用了漏洞。
2020年5月,卡巴斯基專家發現了對一家韓國公司的攻擊,威脅者鏈接了兩個零時差漏洞:Internet Explorer的遠程代碼執行漏洞和Windows的特權提升漏洞。
“此漏洞使本地攻擊者可以升級受影響的Microsoft Windows安裝上的特權。攻擊者必須首先獲得在目標系統上執行低特權代碼的能力,以利用此漏洞。”閱讀ZDI的建議。
攻擊者可能利用這個零日漏洞來操縱“ splwow64.exe”進程的內存,以在內核模式下執行任意代碼。該漏洞可能允許安裝惡意程序,查看,更改或刪除數據,以及創建具有完全用戶權限的新帳戶。
Microsoft試圖通過“六月補丁星期二”安全更新來解決此問題,但Google Project Zero專家發現此問題尚未完全解決。
被利用的CVE-2020-0986尚未確定。由Google Project Zero研究人員Maddie Stone發布的咨詢。
這個問題收到了一個新的CVE-2020-17008,微軟可能會在1月份修復。
Google專家還共享了CVE-2020-17008的概念驗證(PoC)漏洞利用代碼。
