谷歌的Zero團(tuán)隊(duì)已經(jīng)公開了Windows后臺打印程序API中一個(gè)未打補(bǔ)丁的0day安全漏洞的詳細(xì)信息，一些威脅者可能會利用該漏洞執(zhí)行任意代碼。

在9月24日Microsoft未能披露后的90天內(nèi)未能修補(bǔ)此漏洞之后，未打補(bǔ)丁的漏洞細(xì)節(jié)被公開披露。

[[360289]]

該漏洞最初被追蹤為CVE-2020-0986，涉及GDI Print/Print Spooler API(“splwow64.exe”)中的權(quán)限提升漏洞。漏洞由Trend Micro's Zero Day Initiative (ZDI) 的匿名用戶與2019年12月下旬報(bào)告給Microsoft。

但是，由于六個(gè)月內(nèi)一直沒有看到補(bǔ)丁，ZDI最終于今年5月19日發(fā)布了一份公開咨詢，并在隨后的一場針對一家不知名韓國公司的“Operation PowerFall”運(yùn)動中遭到利用。

“splwow64.exe”是Windows核心系統(tǒng)的一個(gè)二進(jìn)制文件，它允許32位應(yīng)用程序連接到Windows系統(tǒng)上的64位打印機(jī)后臺打印程序服務(wù)，實(shí)現(xiàn)了本地過程調(diào)用(LPC)服務(wù)器，其他進(jìn)程可以使用該服務(wù)器訪問打印功能。

攻擊者成功利用此漏洞后可以操縱“splwow64.exe”進(jìn)程的內(nèi)存以實(shí)現(xiàn)內(nèi)核模式下的任意代碼執(zhí)行，最終使用它來安裝惡意程序、查看更改或刪除數(shù)據(jù)、創(chuàng)建具有完全用戶權(quán)限的新帳戶等等。

然而，要實(shí)現(xiàn)這一目標(biāo)，攻擊者首先必須登錄到所討論的目標(biāo)系統(tǒng)。

盡管微軟最終在June 2019 Patch Tuesday發(fā)布該漏洞的補(bǔ)丁，但谷歌安全團(tuán)隊(duì)的新發(fā)現(xiàn)表明該漏洞尚未得到完全修復(fù)。

Google Project Zero研究人員Maddie Stone在一篇文章中寫道：“漏洞仍然存在，只是攻擊者需要改變攻擊方法。”

Stone詳細(xì)描述道：“最初的問題是任意指針取消引用，這使攻擊者能夠控制指向memcpy的src和dest指針”，“’fix‘只是將指針更改為偏移量，這仍然可以控制memcpy的參數(shù)。”

最新報(bào)告的特權(quán)提升漏洞被認(rèn)定為CVE-2020-17008，由于“測試中發(fā)現(xiàn)的問題”，微軟在11月承諾進(jìn)行初步修復(fù)后，預(yù)計(jì)將于2021年1月12日由微軟解決。

Stone還共享了CVE-2020-17008的概念驗(yàn)證(PoC)漏洞利用代碼，該代碼是基于卡巴斯基針對CVE-2020-0986發(fā)布的POC。

Stone說： “今年發(fā)生了太多的0day漏洞事件了，并且這些漏洞都未被進(jìn)行很好的修復(fù)，因此常常被攻擊者利用”，“當(dāng)在野0day未完全修復(fù)時(shí)，攻擊者可以重新利用其漏洞知識和利用方法，輕松開發(fā)新的0day。”

本文翻譯自：https://thehackernews.com/2020/12/google-discloses-poorly-patched-now.html