Windows 10 19H1, la prossima iterazione del sistema operativo Windows, include una serie di correzioni per quello che Microsoft ha definito un “romanzo bug di classe”, e che è stato scoperto da Google security engineer.
Le patch non solo risolvere alcuni kernel di Windows il codice per prevenire potenziali attacchi, ma anche segnare la fine di un periodo di quasi due anni di collaborazione tra Google e Microsoft security team, un raro evento in sé.
Che cosa è questo “romanzo bug di classe”
Tutto questo è iniziato nel 2017, quando James Forshaw, un ricercatore di sicurezza parte di Google Project Zero elite di caccia di bug squadra ha trovato un nuovo modo per attaccare i sistemi Windows.
Froshaw scoperto che un dannoso applicazione in esecuzione su un sistema Windows con le normali autorizzazioni (modalità utente), potrebbe toccare in un locale di driver e Windows Gestore di I/O (un sottosistema che facilita la comunicazione tra i driver e il kernel di Windows) per l’esecuzione di comandi dannosi con il massimo dei privilegi di Windows (in modalità kernel).
Cosa Forshaw è stato scoperto un nuovo modo per eseguire un’acquisizione di privilegi più elevati (EoP) attacco che non era stato documentato prima.
Ma nonostante la ricerca di qualche cosa che i ricercatori di sicurezza di seguito chiamato “pulito” bug, Forshaw, infine, ha colpito un muro quando non è riuscito a riprodurre un attacco di successo.
Il motivo era che Forshaw non avere una conoscenza intima di come Windows Gestore di I/O subsystem lavorato, e come poteva una coppia di driver “iniziatore” funzioni e kernel “ricevitore” funzioni per un completo di attacco [vedi immagine].
Immagine: Microsoft
La collaborazione è stata essenziale
Per andare in giro di questo problema, Forshaw contattato gli unici che potrebbero aiutare –Microsoft e il team di ingegneri.
“Questo ha portato ad incontri con le varie squadre di a [i] Bluehat 2017 [conferenza] a Redmond in cui un piano è formato per Microsoft per utilizzare il loro codice sorgente di accesso per scoprire la misura di questo bug di classe nel kernel di Windows e driver di base del codice,” Forshaw, ha detto.
Microsoft preso Forshaw di ricerca dove aveva lasciato, e rintracciato quello che era vulnerabile e ciò che doveva essere corretto.
Durante le sue ricerche, il team di Microsoft ha trovato che tutte le versioni di Windows dopo che è stato pubblicato a partire da Windows XP sono vulnerabili a Forshaw dell’EoP attacco di routine.
Steven Hunter, l’ingegnere Microsoft che ha guidato questa carica, ha detto che il codice di Windows dispone di un totale di 11 potenziali promotori e i 16 potenziali ricevitori che possono essere sfruttati per attacchi.
La buona notizia, nessuno di questi 11 iniziatori e 16 funzioni del ricevitore potrebbe essere di interconnessione per un attacco che gli abusi sono uno dei driver predefiniti forniti con le installazioni di Windows.
La cattiva notizia –driver personalizzati possono facilitare gli attacchi che il team di Windows non è stato in grado di indagare durante la sua ricerca.
Per questo motivo, alcune patch sarà disponibile con il prossimo Windows 10 versione, prevista per il rilascio, in poche settimane, per evitare qualsiasi rischio di attacchi.
“La maggior parte di queste correzioni sono in pista per il rilascio di Windows 10 19H1, con pochi trattenuto per ulteriori test di compatibilità e/o perché il componente che esiste è deprecato e disabilitato per impostazione predefinita, Hunter ha detto. “Esortiamo tutti i driver del kernel di sviluppatori a rivedere il loro codice per garantire la corretta elaborazione delle richieste IRP e uso difensivo del file Api aperte.”
Maggiori dettagli tecnici su questo romanzo EoP metodo di attacco sono disponibili in Forshaw e Cacciatore di relazioni.
La collaborazione tra Microsoft Security Response Center (MSRC) e Google Project Zero team, inoltre, ha sorpreso molti in infosec comunità, perché a un certo punto nel passato, queste due squadre hanno avuto un piccolo feudo e sono noti per divulgare pubblicamente senza patch difetti nei prodotti.
Microsoft e Project Zero la gente può avere l’occasionale divulgazione di manzo, ma questo è il tipo di collaborazione che accade tutto il tempo, per il bene di tutti. pic.twitter.com/HmGQUX1OfF
— Ryan Naraine (@ryanaraine) 14 Marzo 2019
Impressionante la collaborazione tra @tiraniddo & @_strohu di caccia per una classe di kernel di Windows driver vulns. Questo è quello che succede quando si combinano una logica-difetto-la ricerca di esperto, un MSRC security engineer, e un potente strumento di analisi statica come Semmle 🙂 https://t.co/VWVCw5mTml
— Matt Miller (@epakskape) 14 Marzo 2019
Questo tipo di collab succede a tanti livelli tra MS e dei suoi concorrenti. Quelli guidati da avg dipendenti sono generalmente molto positivi. 🙂
— Rey Bango (@reybango) 14 Marzo 2019
Più vulnerabilità di report:
Apple, Google, GoDaddy misissued certificati TLS con deboli di serie numbersMicrosoft Marzo martedì delle Patch viene fornito con correzioni per due Windows zero-day
Nuovo BitLocker attacco mette portatili conservazione di dati sensibili a riskWDS bug permette di hacker dirottare Windows Server via non valido TFTP packetsVulnerability in Svizzera e-sistema di voto potrebbe aver portato a votare alterationsProof-of-concept code pubblicato per Windows 7 da zero dayDJI correzioni di vulnerabilità che consentono di potenziali hacker spiare droni CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati