Windows 10 19H1, de volgende grote versie van het Windows-besturingssysteem, zal een reeks van oplossingen voor wat Microsoft heeft wel een “roman bug klasse,” en die is ontdekt door het Google security engineer.
De patches niet alleen oplossen sommige Windows-kernel-code om te voorkomen dat potentiële aanvallen, maar ze ook markeren het einde van een bijna twee jaar durende samenwerking tussen Google en Microsoft security teams, een zeldzame gebeurtenis op zich.
Wat is deze “nieuwe bug klasse”
Dit alles begon in 2017 als James Forshaw, een security-onderzoeker onderdeel van Google ‘ s Project Zero elite bug hunting-team een nieuwe manier gevonden om de aanval van Windows-systemen.
Froshaw ontdekt dat een kwaadaardige app die draait op een Windows-systeem met een normale machtigingen (user mode), kan putten uit een lokale bestuurder en de Windows-I/O-Manager (een subsysteem dat vergemakkelijkt de communicatie tussen chauffeurs en de Windows kernel) voor het uitvoeren van kwaadaardige commando ‘ s met de hoogste Windows privileges (kernel-modus).
Wat Forshaw ontdekte, was een nieuwe manier voor het uitvoeren van een uitbreiding van bevoegdheden (EoP) aanslag die nog niet is gedocumenteerd voor.
Maar ondanks het vinden van een wat security onderzoekers later de zogenaamde “nette” bugs, Forshaw uiteindelijk tegen een muur toen hij niet kon reproduceren van een succesvolle aanval.
De reden was dat Forshaw niet over een intieme kennis van hoe de Windows-I/O-Manager subsysteem werkte, en hoe hij kon paar tot bestuurder “initiator” functies en kernel “ontvanger” functies voor een volledige aanval [zie foto hieronder].
Afbeelding: Microsoft
De samenwerking is van essentieel belang
Om rond dit probleem, Forshaw contact opgenomen met de enigen die konden helpen –Microsoft team van ingenieurs.
“Dit leidde tot de vergaderingen met diverse teams op [de] Bluehat 2017 [security conference] in Redmond, waar een plan is gevormd voor Microsoft om hun source code toegang tot het ontdekken van de omvang van deze bug klasse in de Windows-kernel driver en een code base, is het” Forshaw zei.
Microsoft pakte Forshaw onderzoek waar hij gebleven was, en volgen wat er kwetsbare en wat er moest worden opgelapt.
Tijdens haar onderzoek, het Microsoft-team dat alle Windows-versies uitgebracht na sinds Windows XP waren kwetsbaar voor Forshaw de EoP aanval routine.
Steven Hunter, de Microsoft engineer die leiding gaf aan deze heffing, zei dat de Windows-code is voorzien van een totaal van 11 potentiële initiatiefnemers en 16 potentiële ontvangers die kunnen worden misbruikt voor aanvallen.
Het goede nieuws –geen van deze 11 initiatiefnemers en 16-ontvanger functies kunnen worden interconnect voor een aanval die misbruik één van de standaard drivers die meegeleverd worden met Windows-installaties.
Het slechte nieuws –aangepaste stuurprogramma ‘ s kunnen bijdragen aan het aanvallen die de Windows-team was niet in staat om te onderzoeken tijdens het onderzoek.
Om deze reden, sommige plekken zal het schip met de volgende Windows-10-versie, die gepland staat voor release in een paar weken, om te voorkomen dat eventuele aanvallen.
“De meeste van deze oplossingen liggen op koers voor een release in Windows 10 19H1, met een paar achtergehouden voor meer compatibiliteit testen en/of omdat de component bestaan ze is niet meer in gebruik en standaard uitgeschakeld,” Hunter heeft gezegd. “Wij dringen er bij alle kernel driver ontwikkelaars om hun code te zorgen voor een correcte verwerking van de IRP-aanvragen en defensief gebruik van het bestand open Api’ s.”
Meer technische details over deze nieuwe EoP aanval methode zijn beschikbaar in Forshaw en Hunter ‘ s verslagen.
De samenwerking tussen het Microsoft Security Response Center (MSRC) en Google ‘ s Project Zero team ook velen verrast in de infosec gemeenschap, omdat op een bepaald punt in het verleden, deze twee teams hadden een kleine vete en stonden bekend om openbaar te maken, niet gecorrigeerde fouten in elkaars producten.
Microsoft en Project Zero mensen misschien af en toe een openbaarmaking rundvlees, maar dit is het soort samenwerking dat gebeurt de hele tijd, voor het grotere goed. pic.twitter.com/HmGQUX1OfF
— Ryan Naraine (@ryanaraine) 14 Maart 2019
Geweldige samenwerking tussen @tiraniddo & @_strohu op jacht naar een klasse van Windows kernel driver vulns. Dit is wat er gebeurt wanneer u een combinatie van een logica-fout-vinden-expert, een MSRC-ingenieur, en een krachtige statische analyse tool als Semmle 🙂 https://t.co/VWVCw5mTml
— Matt Miller (@epakskape) 14 Maart 2019
Dit type van samenwerking gebeurt op zo veel niveaus tussen MS en haar concurrenten. Die gedreven door de avg-medewerkers zijn over het algemeen erg positief. 🙂
— Rey Bango (@reybango) 14 Maart 2019
Meer kwetsbaarheid rapporten:
Apple, Google, GoDaddy misissued TLS-certificaten met een zwakke seriële numbersMicrosoft Maart Patch dinsdag komt met oplossingen voor twee Windows zero-dagen
Nieuwe BitLocker aanval zet laptops opslaan van gevoelige gegevens in riskWDS bug kunt hackers kapen Windows-Servers via ongeldige TFTP packetsVulnerability in Zwitserse e-voting systeem kan ertoe hebben geleid om te stemmen alterationsProof-of-concept code gepubliceerd voor Windows 7 nul-dayDJI correcties kwetsbaarheid waarmee potentiële hackers spy drones op CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters