Windows 10 19H1, nästa stora iteration av Windows operativsystem, kommer att innehålla en rad korrigeringar för vad Microsoft kallar för en “roman bugg klass” och som har upptäckts av en Google-säkerhetstekniker.
Den fläckar inte bara fixa några Windows-kärnan koden för att förhindra eventuella attacker, men de kan också markera slutet på en nästan två-årigt samarbete mellan Google och Microsoft security team, en sällsynt händelse i sig.
Vad är detta “nya bugg klass”
Allt detta började redan 2017, när James Forshaw, en säkerhetsforskare del av Googles Project Zero elite bugg jaktlaget hittat ett nytt sätt att angripa en Windows-system.
Froshaw upptäckte att en skadlig app som körs på en Windows-system med normala behörigheter (user mode), kan peka i en lokal förare och Windows I/O Manager (ett delsystem som underlättar kommunikation mellan förare och Windows kernel) för att köra skadliga kommandon med den högsta Windows-privilegier (kernel-läge).
Vad Forshaw upptäckte var ett nytt sätt att utföra en behörighetshöjning (EoP) attack som inte hade dokumenterats tidigare.
Men trots hitta lite vad som säkerhet forskare som senare kom att kallas “snygg” buggar, Forshaw så småningom träffar en vägg när han inte kunde återge en lyckad attack.
Anledningen var att Forshaw inte har kännedom om hur Windows I/O Manager delsystem fungerade, och hur han kunde koppla upp föraren “initiativtagare” funktioner och kärna “mottagare” – funktioner för en fullständig attack [se bild nedan].
Bild: Microsoft
Samarbetet var viktigt
Att gå runt det här problemet, Forshaw kontaktade de enda som kunde hjälpa –Microsofts team av ingenjörer.
“Detta ledde till möten med olika grupper på [] Bluehat 2017 [säkerhet konferensen] i Redmond där en plan bildades för Microsoft att använda deras källkod tillgång till upptäcka omfattningen av denna bugg klass i Windows-kärnan och driver kodbas,” Forshaw sagt.
Microsoft plockade upp Forshaw forskning vid där han slutade, och spårat vad som var utsatta och vad som behövde lagas.
Under sin forskning, Microsoft team fann att alla Windows-versioner efter släpptes sedan Windows XP var utsatta för Forshaw s EoP attack rutin.
Steven Hunter, Microsoft ingenjör som ledde denna avgift, säger att Windows-kod som finns totalt 11 potentiella initiativtagare och 16 potentiella mottagare som kunde utnyttjas för attacker.
Den goda nyheten-ingen av dessa 11 initiativtagarna och 16 mottagare funktioner kan vara samman för en attack som utnyttjar en standard drivrutiner som levereras med Windows-installationer.
Den dåliga nyheten –anpassade drivrutiner kan underlätta för attacker som Windows laget var inte i stånd att utreda under sin forskning.
Av denna anledning, vissa fläckar kommer fartyget med nästa Windows-version 10, som är planerad för release i ett par veckor, för att förhindra eventuella attacker.
“De flesta av dessa korrigeringar är på rätt spår för att släppa i Windows 10 19H1, med ett par som hålls tillbaka för ytterligare tester för kompatibilitet och/eller på grund av att de komponenter som de existerar är föråldrat och inaktiverad som standard,” Hunter sade. “Vi uppmanar alla kärndrivrutinen för utvecklare att se över sin kod för att säkerställa en korrekt behandling av IRP önskemål och defensiv användning av arkiv-öppna Api: er.”
Mer teknisk information om denna roman EoP attack metod finns i Forshaw och Hunter ‘ s rapporter.
Samarbetet mellan Microsoft Security Response Center (MSRC) och Googles Project Zero-laget också överraskade många i infosec gemenskapen eftersom en punkt i det förflutna, dessa två lag hade en liten fejd och var kända för att offentliggöra unpatched brister i varandras produkter.
Microsoft och Project Zero folk kan ha enstaka utlämnande av nötkött, men detta är den typ av samarbete som händer hela tiden, för det större goda. pic.twitter.com/HmGQUX1OfF
— Ryan Naraine (@ryanaraine) 14 Mars, 2019
Grymt samarbete mellan @tiraniddo & @_strohu på jakt efter en klass av Windows kernel driver vulns. Detta är vad som händer när du kombinerar en logik-fel-att hitta expert, en MSRC-säkerhet ingenjör, och en kraftfull statisk analys verktyg som Semmle 🙂 https://t.co/VWVCw5mTml
— Matt Miller (@epakskape) 14 Mars, 2019
Denna typ av collab som händer på så många nivåer mellan MS och dess konkurrenter. De drivs av avg anställda är i allmänhet väldigt positivt. 🙂
— Rey Bango (@reybango) 14 Mars, 2019
Mer sårbarhet rapporter:
Apple, Google, GoDaddy misissued TLS-certifikat med svag seriell numbersMicrosoft Mars Patch tisdag kommer med korrigeringar för två Windows-noll-dagar
Nya BitLocker attack sätter bärbara datorer lagra känslig data på riskWDS bugg gör att hackare kapa Windows-Servrar via felaktigt TFTP packetsVulnerability i Schweiziska e-röstningssystem som kunde ha lett till att rösta alterationsProof-of-concept kod publicerad för Windows 7 noll-dayDJI åtgärdar säkerhetsproblem som gör att hackare spy på drönare CNETTop 10 appen sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter