微软本周二在Patch Tuesday修补了近120项漏洞,但Google Project Zero研究人员昨(13)日指出,至少Project Zero发现的一项Windows认证漏洞并未修补完全。
Project Zero研究员James Forshaw是在5月间披露并向微软通报编号CVE-2020-1509的漏洞。这项漏洞是发生在Windows本地安全认证子系统服务(Local Security Authority Subsystem Service,LSASS)的权限升级漏洞。LSASS是用户登录Windows计算机或服务器时,验证用户身份的程序。
根据微软的安全公告,在有CVE-2020-1509漏洞的系统中,攻击者可发送恶意验证调用来开采这项漏洞,一旦成功,攻击者则可在目标系统上升级到管理员权限以执行指令,在CVSS 3.0风险评分表名列8.8,属于“重要”漏洞。
这项漏洞影响所有Windows 10版本,包括最新版的2004版。
微软于周二的Patch Tuesday已经发布修补程序。但Forshaw随后指出修补不完全,只要系统有代理服务器,就可以绕过修补过的版本。
Forshaw发现,LSASS在执行企业验证(Enterprise Authentication capability)上出现漏洞,导致任何包裹在AppContainer沙箱的UWB程序,都可以用户密码执行网络验证。在LSASS验证过程中,他发现,若用户端验证的目标机器是代理服务器,则验证就可以被允许,且调用的网址不一定要是注册(许可)的代理服务器。
这表示攻击者可以经由AppContainer沙箱,以特定具备网络访问功能的App来验证进入任何想要的网络资源,绕过一些SPN checking和SMB签章等防护。攻击者也可以访问本地主机服务。他也公布了概念验证攻击程序,显示应用程序绕过EA来升高权限,而得以连接SMB服务器并列出网络驱动器清单,这些都是超过AppContainer权限的行为。
ZDNet报道Project Zero之所以公布CVE-2020-1509细节,是因为通报已经过90天,因此按照Google政策,无论是否修补完成,研究人员都会公布漏洞细节。Google也拒绝再延长缄默期。