IT热点新闻之Google公布Windows Lockdown 0day漏洞
小标 2018-05-14 来源 : 阅读 640 评论 0

摘要:IT热点新闻资讯,Project Zero研究人员日前泄漏了Windows Lockdown策略的0day漏洞,攻击者利用该漏洞可以绕过开启用户模式代码完整性校验(User Mode Code Integrity,UMCI)的系统上的Windows Lockdown策略,接下来就来看看本次的IT热点新闻吧。

IT热点新闻资讯,Project Zero研究人员日前泄漏了Windows Lockdown策略的0day漏洞,攻击者利用该漏洞可以绕过开启用户模式代码完整性校验(User Mode Code Integrity,UMCI)的系统上的Windows Lockdown策略,接下来就来看看本次的IT热点新闻吧。

Google Project Zero研究人员James Forshaw公布了一个Windows 10的一个0day漏洞,因为根据Google的漏洞披露政策,如果漏洞被报告后超过90天就可以公共该漏洞。

该漏洞影响所有开启UMCI的Windows 10系统,Forshaw还在Windows 10S系统上成功利用了该漏洞。

漏洞

Google发布的安全通告称,Windows Lockdown策略存在0day漏洞。攻击者利用该漏洞可以绕过开启用户模式代码完整性校验(User Mode Code Integrity,UMCI)的系统上的Windows Lockdown策略。

研究人员发现通过使用.NET的bug可以绕过Windows Lockdown策略对COM类实例的检查,导致UMCI开启的系统中任意代码执行。WLDP COM类lockdown策略含有一个8-50个COM对象的硬编码列表,开启的脚本引擎可以实例化这些COM对象。即使攻击者可以在允许的COM CLSIDs范围内注册现有的DLL,那么在检查传递给DllGetObject的CLSID时间也会被检查出,达到预防攻击的目的。

当.NET COM对象实例化时,传递给DllGetClassObject的CLSID只用来在HKCR中查询注册信息,然后CLSID会被丢弃,并创建一个.NET对象。因此,攻击者可以在允许的CLSID范围内,通过添加注册表来加载任意的COM可见类。

POC

研究人员公布了该漏洞的POC代码,其中POC代码含有两个文件:

.inf 文件,用来设置注册表;

.sct文件,用DotNetToJScript创建的,可以用来加载不可信的.NET库到内存中来显示一个消息框。

Google的研究人员1月19号就向微软报告了该漏洞,但微软至今尚未修复该漏洞。该漏洞只影响那些开启了Device Guard的系统,而且只是在这样的设备上获取持久代码执行的一种方法。所以既不是远程利用,也不是权限提升的漏洞。研究人员强调攻击者需要获取系统的权限才能利用该漏洞和安装注册表。

希望这篇文章可以帮助到你,总之同学们,it资讯尽在职坐标。

本文由 @小标 发布于职坐标。未经许可,禁止转载。
喜欢 | 0 不喜欢 | 0
看完这篇文章有何感觉?已经有0人表态,0%的人喜欢 快给朋友分享吧~
评论(0)
后参与评论

您输入的评论内容中包含违禁敏感词

我知道了

助您圆梦职场 匹配合适岗位
验证码手机号,获得海同独家IT培训资料
选择就业方向:
人工智能物联网
大数据开发/分析
人工智能Python
Java全栈开发
WEB前端+H5

请输入正确的手机号码

请输入正确的验证码

获取验证码

您今天的短信下发次数太多了,明天再试试吧!

提交

我们会在第一时间安排职业规划师联系您!

您也可以联系我们的职业规划师咨询:

小职老师的微信号:z_zhizuobiao
小职老师的微信号:z_zhizuobiao

版权所有 职坐标-一站式IT培训就业服务领导者 沪ICP备13042190号-4
上海海同信息科技有限公司 Copyright ©2015 www.zhizuobiao.com,All Rights Reserved.
 沪公网安备 31011502005948号    

©2015 www.zhizuobiao.com All Rights Reserved

208小时内训课程