谷歌披露微軟 Windows 鎖定策略中的 0day 漏洞
責編:gltian |2018-04-24 13:18:20Windows 10 中存在一個漏洞,如遭利用則可繞過 Windows 鎖定策略并導致任意代碼執行。微軟在收到報告后的90天內仍未修復漏洞。
谷歌 Project Zero 團隊的安全研究員 James Forshaw 指出,在啟用用戶模式完整性 (UMCI) 的系統上,攻擊者可利用一個 .NET 漏洞繞過針對 COM Class 初始化的 Windows 鎖定策略檢查。
該問題已在 Windows 10S 上復現,但據稱影響所有啟用 UMCI 的 Windows 10 版本。
漏洞 POC 已發布
安全研究人員解釋稱,這個漏洞存在于當實例化 .NET COM 對象時,WLDP COM Class鎖定策略的行為方式。
該策略中包含8到50個 COM 對象的硬編碼列表,這些對象可以讓開發腳本引擎實例化。因此,即使有人能夠在一個受允許的 COM CLSID 下注冊一個現有的 DLL,好的實現應該檢查傳遞給 DllGetObject 的 CLSID 是否符合以上提及的內部列表并阻止攻擊。
研究人員發現,當 .NET COM 對象被實例化時,傳遞到 DllGetClassObject 的 CLSID 也僅用于在 HKCR 中查找注冊信息,CLSID 被拋棄而 .NET 對象得以創建。
因此,攻擊者可添加注冊表項(包括 HKCU 的注冊表項),在受允許的 CLSID 下加載一個任意的 COM 可見類。
研究人員指出,“它會直接影響類策略,因為它允許攻擊者添加注冊表項(包括 HKCU 的注冊表項),而后者在受允許的 CLSID 下加載一個任意的 COM 可見類。由于 .NET 并不在意 .NET 類型是否具有特定的 GUID,因此可利用此引導任意代碼執行。”
攻擊者可使用工具如 Forshaw 創建的DotNetToJScript 工具實施利用。該工具是一款免費工具,可供用戶生成引導任意 .NET程序集和類的 JScript。
Forshaw 還發布了兩個文件作為 POC:建立注冊表的一個 .INF 文件和一個 .SCT 文件。后者是使用 DotNetToJScript 將不受信任的 .NET 程序集加載到內存中顯示消息框的示例,不過它還可用于其它多種用途。
漏洞雖未修復但并不嚴重
1月19日,微軟收到該漏洞報告并證實漏洞存在。按照 Project Zero 的規定,供應商可以在漏洞公開前的90天內修復漏洞,而微軟并未按期修復。
不過這個漏洞也并不嚴重,這也是它的詳情被公開發布的一個主要原因。
研究人員解釋稱,漏洞并未在4月的補丁星期二中予以修復,因此超過規定期限。該問題僅影響啟用 Device Guard 的系統(如 Windows 10 系統),并且僅可被用于獲得機器的持續性代碼執行能力。它不可遭遠程利用,也非權限提升問題。
攻擊者要利用這個缺陷,需要在受影響計算機上立足以安裝所需注冊表項。而操作系統中如存在遠程執行漏洞則可被用于此目的。
鑒于 .NET 框架中存在已知的 Device Guard 繞過問題且未被修復仍可遭利用,因此如果所有已知的繞過漏洞被修復的話,這個問題本不至于如此嚴重。