寫在前面的話

在這一年即將結(jié)束之際，我們在此回顧一下我們在2020年收到的一些最有意思的漏洞報告。毫無疑問，將今年已報告的1400多個漏洞縮減為只有5個，這絕對是一個相當(dāng)大的挑戰(zhàn)。在這篇文章中，我們所分析的這5個安全漏洞是從這1400多個漏洞中脫穎而出的，接下來，我們一起看看到底是哪五個漏洞殺出了重圍。

CVE-2020-0688/ZDI-20-258

CVE-2020-0688/ZDI-20-258：Microsoft Exchange Server的Exchange控制面板加密密鑰遠(yuǎn)程代碼執(zhí)行漏洞

這個漏洞是Microsoft Exchange Server的Exchange控制面板中存在的一個加密密鑰遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞是由一位匿名安全研究專家上報的，Microsoft Exchange Server中的這個高度嚴(yán)重的漏洞將允許任何經(jīng)過身份驗證的Exchange用戶獲得服務(wù)器上的SYSTEM權(quán)限。該漏洞位于Exchange管理中心Web界面中，即雖然這個Web界面被稱為“管理”界面，但在默認(rèn)情況下，任何擁有Exchange服務(wù)器上郵箱憑據(jù)的或者可以在網(wǎng)絡(luò)上公開訪問Outlook Web Access的用戶都可以使用該界面。漏洞與Exchange管理中心(ASP.NET應(yīng)用程序)中安裝的加密密鑰(“計算機密鑰”)有關(guān)，xchange應(yīng)該在安裝時隨機生成這些密鑰，以便實現(xiàn)保持對每個安裝的機密性和唯一性。但是現(xiàn)在，它們卻是從安裝介質(zhì)中逐字復(fù)制的，因此外部攻擊者可以通過引用產(chǎn)品的任何其他安裝源來獲取到這些密鑰。攻擊者可以利用獲取到的密鑰信息偽造出將在服務(wù)器上反序列化的消息，從而實現(xiàn)任意代碼的執(zhí)行。Exchange服務(wù)器中的這個漏洞非常嚴(yán)重，因為Exchange一般都扮演著企業(yè)神經(jīng)中樞的角色，這使得該漏洞成為了網(wǎng)絡(luò)犯罪分子眼中一個非常有價值的目標(biāo)。如果您的組織目前還沒有修復(fù)該漏洞的話，我們建議大家盡快修復(fù)。

參考資料：【點我獲取】

CVE-2020-3992/ZDI-20-1377

CVE-2020-3992/ZDI-20-1377：VMware ESXi SLP用后釋放遠(yuǎn)程代碼執(zhí)行漏洞

這個漏洞是由ZDI漏洞研究人員Lucas Leong發(fā)現(xiàn)的，ESXi是由VMWare開發(fā)的企業(yè)級管理程序，ESXi中默認(rèn)啟用的協(xié)議之一是服務(wù)位置協(xié)議(SLP)。SLP是一種使客戶端能夠發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)的協(xié)議，目前最流行的SLP實現(xiàn)就是OpenSLP了。然而，Lucas發(fā)現(xiàn)ESXi使用的是他們自己的定制實現(xiàn)方式。重要的是，這個自定義實現(xiàn)中存在設(shè)計缺陷，從而導(dǎo)致了兩個嚴(yán)重的安全問題出現(xiàn)。其中一個安全問題將導(dǎo)致程序在SLPDProcessMessage()中釋放SLPMessage對象，但是該程序仍會在SLPDatabase結(jié)構(gòu)中保留對已釋放對象的引用。這也就導(dǎo)致了用后釋放(UAF)的情況出現(xiàn)，而遠(yuǎn)程攻擊者將能夠通過網(wǎng)絡(luò)來觸發(fā)并利用該漏洞。這個漏洞最初被標(biāo)記為了ZDI-CAN-11563。但是，VMWare所提供的安全補丁并沒有完全解決這個問題，這便導(dǎo)致了ZDI-CAN-12190的出現(xiàn)。應(yīng)該注意的是，除了可以遠(yuǎn)程利用之外，這些SLP問題還可以被攻擊者利用來幫助在受限環(huán)境中運行的程序?qū)崿F(xiàn)沙箱逃逸。這也足以證明，即使是經(jīng)過大量研究的產(chǎn)品，比如說ESXi，也有可能存在嚴(yán)重的攻擊面，這些攻擊面往往容易被忽視，因此存在較嚴(yán)重的安全風(fēng)險。

CVE-2020-9850/ZDI-20-672

CVE-2020-9850/ZDI-20-672：Apple Safari JIT模式下的類型混淆遠(yuǎn)程代碼執(zhí)行漏洞

這個漏洞是由喬治亞理工系統(tǒng)軟件與安全實驗室的團隊在春季Pwn2Own競賽中報告的，該漏洞同時也是一條有趣漏洞利用鏈(與Webkit的類型混淆問題有關(guān))的一部分。由于這個漏洞，Safari將具備執(zhí)行“.app”符號鏈接的能力，這是由OpenGL的CVM(核心虛擬機)中的堆溢出漏洞所導(dǎo)致的。此外，由于競爭條件的存在，將有可能在cfprefsd和kextload中實現(xiàn)root訪問或權(quán)限提升。研究人員在Pwn2Own上成功演示了該漏洞，并贏得了七萬美金的漏洞獎勵。這個漏洞的利用場景比較可怕，因為當(dāng)一個毫無防備的受害者在訪問一個簡單的網(wǎng)頁時，這一切他都是毫不知情，因為瀏覽網(wǎng)頁10秒后，惡意代碼將會在目標(biāo)用戶的設(shè)備上運行，一切都是在后臺悄悄完成的。

CVE-2020-7460/ZDI-20-949

CVE-2020-7460/ZDI-20-949：FreeBSD內(nèi)核sendmsg系統(tǒng)調(diào)用TOCTU權(quán)限提升漏洞

這個漏洞是由一個名叫m00nbsd的研究人員報告給ZDI的。該漏洞允許攻擊者利用32位sendmsg()系統(tǒng)調(diào)用中存在的TOCTU漏洞，以初始為非特權(quán)的用戶身份在FreeBSD上執(zhí)行內(nèi)核級代碼。該漏洞是系統(tǒng)調(diào)用中的一個雙重獲取漏洞，為了觸發(fā)溢出，用戶必須必須在第一次訪問和第二次訪問之間用更大的值替換其中一個MsgLen值。攻擊者可以通過在循環(huán)中生成一個調(diào)用sendmsg()的線程來觸發(fā)該漏洞，并為其提供正確的參數(shù)。然后，它們可以生成另一個線程，用一個巨大的值替換其中一個MsgLen，然后將正確的值放回一個循環(huán)中。接下來，等待兩個線程爭用這個資源，便會觸發(fā)溢出。令人驚訝的是，這個漏洞隱藏得并不深，但這么多年來卻沒人發(fā)現(xiàn)它。如需了解更多關(guān)于此漏洞的細(xì)節(jié)(包括PoC)，可以參考這篇【文章】。

CVE-2020-17057/ZDI-20-1371

CVE-2020-17057/ZDI-20-1371：Microsoft Windows DirectComposition未初始化的指針權(quán)限提升漏洞

一位匿名研究員向ZDI報告了這個漏洞。這個漏洞存在于Windows DirectComposition內(nèi)核模式圖形組件之中，win32kbase!DirectComposition::CInteractionTrackerMarshaler::SetBufferProperty函數(shù)基于從用戶模式傳遞的數(shù)據(jù)填充DirectComposition:：CInteractionTrackerMarshaler類型的對象。如果此函數(shù)遇到無效數(shù)據(jù)，它將切換到一條錯誤路徑，該路徑將嘗試釋放函數(shù)已創(chuàng)建并存儲在對象中的資源。由于此錯誤路徑中存在安全問題，可能會影響函數(shù)釋放從未初始化的指針。這使攻擊者能夠在內(nèi)核模式下控制指令指針，從而獲得SYSTEM權(quán)限。

總結(jié)

我們回顧了今年提交給ZDI項目的一些最佳漏洞，多年來，許多事情都發(fā)生了變化，但我們與來自全球各地的獨立安全研究人員合作的愿望從未動搖過。如果您已經(jīng)參與到了我們的計劃之中，我們感謝您的辛勤工作和參與。如果您還沒有提交計劃，我們希望您將來考慮提交。