微软将修复谷歌工程师发现的新bug类

Windows 10 19H1是Windows操作系统的下一个主要版本，它将包括微软所谓的“新bug类”的一系列修复，这是一名谷歌安全工程师发现的。

这些补丁不仅修复了一些Windows内核代码，以防止潜在的攻击，而且还标志着谷歌和微软安全团队近两年合作的结束，这本身就是一个罕见的事件。

这一切都始于2017年，当时谷歌项目零精英漏洞追踪小组的安全研究员詹姆斯·福肖发现了一种攻击Windows系统的新方法。

Froshaw发现，在Windows系统上运行的具有正常权限(用户模式)的恶意应用程序可以访问本地驱动程序和Windows I/O管理器(一个促进驱动程序和Windows内核之间通信的子系统)，从而运行具有最高Windows特权的恶意命令(内核模式)。

福肖发现了一种新颖的执行提升特权(EoP)攻击的方法，这是以前没有记录的。

尽管发现了一些安全研究人员后来称之为“整洁”的漏洞，福肖最终还是因为无法复制成功的攻击而碰壁。

原因是Forshaw并不了解Windows I/O管理器子系统的工作原理，也不知道如何将驱动程序的“启动程序”函数和内核的“接收程序”函数结合起来进行完整的攻击(见下图)。

为了解决这个问题，福肖联系了唯一能提供帮助的人——微软的工程师团队。

Forshaw说:“这导致了在雷德蒙德(Redmond)举行的Bluehat 2017(安全会议)上，微软与多个团队开会，计划利用他们的源代码访问来发现Windows内核和驱动程序代码库中此类bug的程度。”

微软从福肖中断的地方继承了他的研究，并追踪了哪些是易受攻击的，哪些是需要修补的。

在研究过程中，微软团队发现，自从Windows XP发布后，所有的Windows版本都容易受到Forshaw的EoP攻击程序的攻击。

微软工程师史蒂文亨特(Steven Hunter)领导了这次行动，他说，Windows代码共有11个潜在的发起者和16个潜在的接收者，可以被滥用来发动攻击。

好消息是，这11个启动程序和16个接收程序都不能相互连接，从而防止攻击滥用Windows安装附带的一个默认驱动程序。

坏消息——自定义驱动程序可能会促进Windows团队在研究期间无法调查的攻击。

出于这个原因，下一个Windows 10版本将发布一些补丁，计划在几周后发布，以防止任何潜在的攻击。

Hunter说:“大多数修复程序将在Windows 10 19H1中发布，有一些将推迟进行进一步的兼容性测试，或者因为它们所在的组件在默认情况下是不支持和禁用的。”“我们敦促所有内核驱动程序开发人员检查他们的代码，以确保正确处理IRP请求和防御使用文件开放api。”

更多关于这种新的EoP攻击方法的技术细节可以在Forshaw和Hunter的报告中找到。

微软安全响应中心(MSRC)和谷歌的Project Zero团队之间的合作也让infosec社区中的许多人感到惊讶，因为在过去的某个时候，这两个团队有过小的争执，并且公开披露彼此产品中未修复的缺陷。

微软和Project Zero的人可能偶尔会有一些抱怨，但这是一种为了更大的利益而经常发生的协作。pic.twitter.com/HmGQUX1OfF

@tiraniddo和@_strohu在寻找一类Windows内核驱动程序vulns。这就是当您将逻辑缺陷发现专家、MSRC安全工程师和强大的静态分析工具(如Semmle:)组合在一起时所发生的事情

这种类型的合作发生在MS &之间的许多层次竞争对手。那些由avg员工驱动的游戏通常都是非常积极的。:)