從 windows 2000 到 windows 10 的最新版本, 所有作業系統的 pssetloadimagenotifyroutine 中都發現了 microsoft 核心漏洞。漏洞存在于 microsoft 提供給安全供應商的 api 中, 是為了讓他們知道作業系統正在加載的檔案,如果這個api出現問題,防病毒軟體就成了瞎子。
microsoft 在 windows 2000 中啟動了 pssetloadimagenotifyroutine, 以便将 pe 映像檔案加載或映射到記憶體中時, 在核心的不同部分通知注冊的驅動程式。最進階别的系統分析驅動程式可以調用它,來設定其加載映像通知例程。
ensilo 安全公司的研究人員在挖掘 windows 核心漏洞時,發現了微軟 api 中的這個一個缺陷。他們注意到, 在用核心注冊加載pe 映像的通知例程之後, 回調可能會收到無效的圖像名稱。完整的技術見如下位址
https://breakingmalware.com/documentation/windows-pssetloadimagenotifyroutine-callbacks-good-bad-unclear-part-1/
這個問題最初被認為是一個随機問題, 但實際上植根于核心。ensilo 創始人兼首席技術官 udi yavo 解釋道
"該 漏洞存在于 microsoft 提供給安全供應商的 api 中, 是為了讓他們知道作業系統正在加載的檔案," 如果api 無法正常工作, 可能會提供給供應商無效的檔案, 可能會導緻供應商無法識别惡意軟體。
ensilo 安全研究員暗 misgav 在上面那篇部落格文章中指出, 程式設計錯誤可能會阻止供應商和核心開發人員,識别在運作時加載哪些子產品。這意味着攻擊者可以将惡意子產品 (僞裝成合法的) 加載到 windows 環境中, 而不會觸發警報。
0day研究所的通信經理 dustin childs說。
"這個漏洞雖然影響 windows 2000到 windows 10的所有版本,但也不用過于震驚。 "windows 的曆史悠久, 代碼跨越多個版本并不少見,"
雖然此漏洞無法直接威脅到 windows os, 但威脅參與者可以利用此漏洞繞過供應商使用 microsoft api 的某些系統。依賴于 api 的産品将無法檢測潛在的惡意檔案, 進而使攻擊者能夠在企業系統中獲得立足點。yavo 指出
"我們已經向微軟報告了這個問題," ,而且自己公司也沒打算建立一個更新檔。雖然他不認為這個特定的問題很容易被利用, 但也很難知道攻擊者是否使用了它。
這項研究雖然有趣, 但仍在進行中, childs說。
"在研究完成之前, 利用可能無法确定是否有攻擊者利用該漏洞" "在此之前, 企業應該意識到, 沒有任何産品或技術是萬無一失的。 應該使用多種工具和技術來提供最佳的可用保護。
即使目前沒有更新檔, childs建議企業将重點放在提高整體防禦能力的政策上。他表示:
"網絡隔離、監控、反病毒和更新檔等技術,有助于提高企業的安全态勢, 而不隻是考慮單個 漏洞" 您永遠無法阻止所有 漏洞, 但您可以将自己置于一個良好的位置, 以便在攻擊您的系統時發現這些漏洞。
yavo 說, 該研究小組仍在進行這項研究, 并将在發現的時候釋放更多的成果。
原文釋出時間:2017年9月7日
本文由:darkreading釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/windows-kernel-0day#
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站
![(1)如何快速的在指定檔案夾打開指令行?(1)如何快速的在指定檔案夾打開指令行?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)