Google發現Windows 8.1 0day漏洞并公布漏洞驗證程序(PoC)
Google 安全研究人員發現了一枚 Windows 8.1 權限提升漏洞,攻擊者可以借此漏洞修改系統內容甚至完全控制受害者計算機。目前 Google 已經公布了漏洞驗證程序(PoC)。
PoC 已經公布,Windows 8.1 受影響
Google 安全研究人員 James Forshaw 已經提供了漏洞驗證程序(PoC)并稱這個漏洞他只在 Windows 8.1 下此時通過,并不清楚 Windows 7 等其他低版本 Windows 是否受到影響。
早在 2014 年 9 月 30 日 James 就在 Google 安全團隊郵件列表上提交了這個漏洞,現在 90 天的漏洞披露期過了,于是他本周公布了這個漏洞的 PoC。
漏洞簡述
這個漏洞源于 Windows 8.1 一個用于確認當前用戶是否為系統管理員(administrator)的系統內部函數(非公共 API)——AhcVerifyAdminContext。這個函數沒有正確的檢查調用其的用戶身份模擬令牌( impersonation token ),因而可能被非管理員權限的攻擊者繞過。
PoC 測試方法
這個漏洞驗證程序(PoC)包括兩個程序文件和一系列操作指南,只要 PoC 成功執行將會以管理員權限運行 Windows 計算器。
安全研究人員 James 已經在 PoC 在 Windows 8.1 32 位和 64 位上測試成功,但是他還是建議用戶在 32 位機器上測試。
測試步驟:
1、從谷歌官方下載(點我,需使用KX上網法)獲得 AppCompatCache.exe 和 Testdll.dll 文件。
2、確保 UAC 以默認設置開啟,當前用戶是一個 split-token admin。
3、在命令行下執行
AppCompatCache.exe c:\windows\system32\ComputerDefaults.exe testdll.dll</div>
4、如果測試成功將會彈出計算器,如果不成功請重新執行第三操作(第一次執行可能有一定緩存時間)
微軟回應
目前微軟官方發言人已經確認了這個漏洞并正在開發安全補丁,同時他稱攻擊者要實現此漏洞的利用必須要擁有一個合法的登錄用戶,同時建議用戶安裝殺毒軟件。
這么公布漏洞真的負責任嗎?
不少用戶在 Google 安全官方留言板上展開討論,認為 Google 此舉不是一種負責任的公開。他們認為 Google 并沒有與微軟進行很好的溝通,未等微軟確認即公開漏洞細節甚至 PoC,這里頭可能參雜了“商業競爭因素”。
另外由于漏洞恰逢美國圣誕節休假期,Google 設定的 90 天漏洞自動公開上限期雖然看似挺長,但是一旦涉及休假就有可能出現特殊情況。規定是死的,人是活的,不少美國網友認為 Google 此次的做法并不合適。
但是也有逗比給出了如下評論:
#66 killbush
</p>
<blockquote>
<p>
Stop hiring cheap Indian labour and you will stop getting these problems <br />
譯:只要(微軟)停止雇傭那些廉價的印度員工,這種問題就不會再發生了…… </p> </blockquote>
</div>