Google Project Zero團隊在23日,揭露了位於Windows 10的零時差漏洞CVE-2020-17008,這並非是個全新的漏洞,而是肇因於微軟在6月對CVE-2020-0986漏洞修補不完全所造成,而且只要稍加修改針對CVE-2020-0986漏洞的開採程式,就能開採CVE-2020-17008。

最初的CVE-2020-0986為Windows核心的權限擴張漏洞,當Windows核心無法妥善處理記憶體中的物件時便會被觸發,成功開採該漏洞的駭客可於核心模式執行任意程式碼,包括安裝程式,檢視/變更/刪除資料,或是建立具備完整使用者權限的新帳號,但開採前提是駭客必須先登入系統。

微軟似乎輕忽了CVE-2020-0986漏洞,因為趨勢科技的Zero Day Initiative(ZDI)是在去年12月便向微軟提報該漏洞,但當時微軟認為這是個不太可能被開採的漏洞而遲遲未修補,使得ZDI在今年5月19日公布了漏洞細節,隔天卡巴斯基便發現了利用CVE-2020-0986漏洞的攻擊行動,也促使微軟著手於今年6月的Patch Tuesday修補它。

然而,Google Project Zero團隊的Maddie Stone在今年9月發現,微軟對CVE-2020-0986的修補並不完整。根據Stone的說法,最初的問題存在於任意指標的取消引用,讓駭客得以控制至memcpy的src與dest指標,而微軟的修補只是簡單地變更指標的位移,依然能夠控制至memcpy的args,留下了CVE-2020-17008漏洞。

Stone也建立了針對CVE-2020-17008漏洞的概念性驗證攻擊程式(POC),而且是利用卡巴斯基替CVE-2020-0986所打造的POC稍加調整而已。

Stone提醒,今年以來已有多起零時差攻擊行動,是開採了修補不正確或不完全的已知漏洞,當這些零時差漏洞未被正確修補時,駭客即可利用對原漏洞的了解與攻擊方法,輕易襲擊新的零時差漏洞。

Google Project Zero團隊在今年9月就通報微軟,微軟原先計畫要在今年11月修補CVE-2020-17008,卻一直延後到明年1月12日,超過了90天的緩衝期,而讓該團隊本周就公布了漏洞細節。


熱門新聞

Advertisement