0day？！微软谷歌协作近两年才搞懂它

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士团队

通常我们用“0day”表示尚未发布补丁的漏洞状态，那如果补丁已发布但还没找到实际漏洞的情况又该如何表述？

而这正是微软和谷歌上周在一份报告中说明的情况，他们在 Windows 系统中发现了一种新型的漏洞类型，但实际上该漏洞还未来得及出现在真正的产品中。换句话说，这种类型的漏洞是存在的，而且还可能起作用，但幸运的是软件组件从未到位。

这两个巨头表示，它是权限提升缺陷，将允许已登录攻击者或恶意软件通过利用 Windows IO 管理器处理请求的方式获取内核模式的访问权限。

2017年，谷歌研究员 James Forshaw 找到攻击 Windows 系统的一种新方法。他发现以正常权限（用户模式）运行在 Windows 系统上的恶意应用能够入侵本地驱动以及 Windows I/O 管理器（便于驱动和 Windows 内核之间进行通信的子系统）以Windows 最高权限（内核模式）运行恶意命令。他发现的实际上是之前从未发现过的权限提升 (EoP) 攻击。

但虽然 Forshaw 找到了这个令其他研究人员称赞的漏洞，但他最后却无法成功复现攻击。原因在于 Forshaw 不了解 Windows I/O 管理器子系统的运行方式，以及如何配对驱动“initiator”函数和内核“receiver”函数以执行完整的攻击。

为此，Forshaw 联系了唯一能够帮上忙的微软工程师团队。于是两家巨头开始了罕见的长达近两年的合作。毕竟之前两家巨头可以说是针尖对麦芒，在互相披露对方 0day 漏洞方面毫不留情。

微软团队发现 Windows XP 版本后的所有 Windows 版本均易受这种 EoP 攻击的影响。负责这次合作的微软工程师 Steven Hunter 认为这个 Windows 代码表明11个潜在的“initiator”和16个潜在的“receiver”函数均可遭滥用。

好消息是，这些函数无法被互联滥用 Windows 安装程序中其中一个默认驱动。但坏消息是，自定义驱动可能会导致攻击更容易实现，因为 Windows 团队在开展研究时无法对其进行调查。因此微软将在几周后先行发布一些 Windows 10 补丁。

Hunter 表示，“将在 Windows 10 19H1版本中发布多数修复方案，余下的修复方案将用于进一步的兼容性测试以及/或因为这些漏洞所存在的组件被降级且默认禁用。我们督促所有的内核驱动开发人员审查代码，以确保 IRP 请求得到正确处理且对文件开放的 API 使用正确。”

更多技术细节参见：https://blogs.technet.microsoft.com/srd/2019/03/14/local-privilege-escalation-via-the-windows-i-o-manager-a-variant-finding-collaboration/。

原文链接

https://www.zdnet.com/article/microsoft-to-fix-novel-bug-class-discovered-by-google-engineer/

本文由代码卫士编译，不代表其观点，转载请注明“转自代码卫士 www.codesafe.cn”。