谷歌报道:微软未能修复 Windows 零日漏洞 (CVE-2020-0986)
谷歌的零日项目专家公开披露了Windows中一个修补不当的零日代码执行漏洞的详细信息。
谷歌零项目团队的白帽黑客已经公开披露了Windows中零日漏洞修补不当的详细信息。
名为的漏洞位于Print Spooler API中,并且威胁参与者可能利用该漏洞执行任意代码。
在Microsoft在9月24日的负责任披露后90天内未能解决该问题之后,Google专家发布了该漏洞的详细信息。
该漏洞是由与趋势科技的零日活动(ZDI)合作的匿名用户于2019年12月报告给Microsoft的。
“漏洞几乎与CVE-2019-0880详细的技术分析完全相同 。就像CVE-2019-0880一样,此漏洞允许攻击者使用splwow64特权地址空间中的任意参数调用memcpy。任意参数在LPC消息中发送到splwow64。” 阅读安全公告。 “在这种情况下,易受攻击的消息类型为0x6D,这是对DocumentEvent的调用 。从GdiPrinterThunk调用DocumentEvent之后,只要将LPC消息中的特定字段设置为正确的值,就会调用memcpy。此memcpy调用位于gdi32full!GdiPrinterThunk + 0x1E85A。”
Splwow64.exe是Windows核心系统文件,它允许32位应用程序与x64 Windows构建上的64位打印机后台处理程序服务连接。
2010年5月19日,ZDI发布了一份通报,该威胁参与者在名为“Operation PowerFall”的活动中利用了漏洞。
2020年5月,卡巴斯基专家发现了对一家韩国公司的攻击,威胁者链接了两个零时差漏洞:Internet Explorer的远程代码执行漏洞和Windows的特权提升漏洞。
“此漏洞使本地攻击者可以升级受影响的Microsoft Windows安装上的特权。攻击者必须首先获得在目标系统上执行低特权代码的能力,以利用此漏洞。”阅读ZDI的建议。
攻击者可能利用这个零日漏洞来操纵“ splwow64.exe”进程的内存,以在内核模式下执行任意代码。该漏洞可能允许安装恶意程序,查看,更改或删除数据,以及创建具有完全用户权限的新帐户。
Microsoft试图通过“六月补丁星期二”安全更新来解决此问题,但Google Project Zero专家发现此问题尚未完全解决。
被利用的CVE-2020-0986尚未确定。由Google Project Zero研究人员Maddie Stone发布的咨询。
这个问题收到了一个新的CVE-2020-17008,微软可能会在1月份修复。
Google专家还共享了CVE-2020-17008的概念验证(PoC)漏洞利用代码。
