Microsoft fix ‘roman fejl class’ opdaget af Google-ingeniør

0
9
windows-logo.png

Windows 10 19H1, den næste større version af Windows-operativsystemet, vil indeholde en række rettelser til hvad Microsoft har kaldt en “roman bug klasse”, og som er blevet opdaget af Google security engineer.

Plastrene ikke kun lave nogle Windows-kernen kode til at forhindre potentielle angreb, men de er også med til at markere afslutningen på en næsten to års samarbejde mellem Google og Microsoft security teams, som er en sjælden begivenhed i sig selv.

Hvad er denne “roman bug klasse”

Alt dette begyndte tilbage i 2017, når James Forshaw, en sikkerhedsekspert en del af Google ‘ s Project Zero elite bug hunting team har fundet en ny måde at angribe Windows-systemer.

Froshaw opdaget, at et ondsindet program, der kører på en Windows-system med normal tilladelser (bruger-tilstand), der kan indpasses i en lokal driver, og Windows I/O Manager (et delsystem, der letter kommunikation mellem chauffører og Windows-kernen) til at køre ondsindede kommandoer med den højeste Windows-privilegier (kernel-mode).

Hvad Forshaw opdagede var en ny måde at udføre en udvidelse af rettigheder (ultimo perioden) angreb, der ikke havde været dokumenteret før.

Men på trods af at finde nogle, hvad sikkerhed forskere, senere kaldet “pæn” bugs, Forshaw i sidste ende rammer en mur, når han ikke kunne reproducere et vellykket angreb.

Årsagen var, at Forshaw ikke har indgående kendskab til, hvordan Windows I/O Manager delsystem arbejdet, og hvordan han kunne parret driver “igangsætter” – funktioner og kerne “modtager” – funktioner for en komplet angreb [se billedet nedenfor].

Windows EoP class attack

Billede: Microsoft

Det samarbejde var afgørende

At gå rundt på dette spørgsmål, Forshaw kontaktet de eneste, der kunne hjælpe –Microsofts team af ingeniører.

“Dette førte til møder med forskellige hold på [] Bluehat 2017 [konference] i Redmond, hvor en handlingsplan blev dannet for Microsoft at bruge deres kildekode adgang til at opdage det omfang, denne fejl klasse i Windows kerne og driver-kode base,” Forshaw sagde.

Microsoft tog Forshaw ‘ s forskning, hvor han slap, og opsporet, hvad der var sårbare, og hvad der kræves for at blive lappet.

I løbet af sin forskning, Microsoft team har fundet, at alle Windows-versioner efter udgivet siden Windows XP blev sårbare over for Forshaw s ultimo perioden angreb rutine.

Steven Hunter, Microsoft ingeniør, der førte denne afgift, sagde, at den Windows-kode, har i alt 11 potentielle initiativtagere og 16 potentielle modtagere, der kan misbruges til angreb.

Den gode nyhed –ingen af disse 11 initiativtagere og 16-modtageren fungerer kunne forbinde til et angreb, der misbruger en af de standard drivere, der leveres med Windows-installationer.

Den dårlige nyhed –brugerdefinerede drivere kan lette angreb, at Windows var holdet ikke i stand til at undersøge i løbet af sin forskning.

Af denne grund, nogle patches vil skibet med den næste Windows version 10, som er planlagt til udgivelse i et par uger, for at undgå potentielle angreb.

“De fleste af disse rettelser er på vej til udgivelse i Windows 10 19H1, med et par holdt tilbage for yderligere kompatibilitet test, og/eller fordi den komponent, de findes i, er forældet og som standard deaktiveret,” Hunter har sagt. “Vi opfordrer alle kernel driver udviklere til at ændre deres kode til at sikre korrekt behandling af IRP anmodninger og defensive brug af den fil, åbne Api’ er.”

Flere tekniske detaljer om denne roman ultimo perioden angreb metode er til rådighed i Forshaw og Hunter ‘ s rapporter.

Samarbejdet mellem Microsoft Security Response Center (MSRC) og Google ‘ s Project Zero team også overrasket mange i infosec fællesskabet, fordi der på et tidspunkt i fortiden, disse to hold havde en lille fejde og var kendt for at offentliggøre unpatched fejl i hinandens produkter.

Mere sårbarhed rapporter:

Apple, Google, GoDaddy misissued TLS-certifikater med svage seriel numbersMicrosoft Marts Patch tirsdag kommer med rettelser til Windows nul-dage
Nye BitLocker angreb sætter bærbare computere til at gemme følsomme data på riskWDS fejl lader hackere kapre Windows-Servere via misdannet TFTP packetsVulnerability i Schweiziske e-valgsystem, der kunne have ført til afstemning alterationsProof-of-concept kode, der offentliggøres for Windows 7 nul-dayDJI rettelser svaghed, at lade potentielle hackere spion på droner CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic

Relaterede Emner:

Google

Sikkerhed-TV

Data Management

CXO

Datacentre