Google的Project Zero團(tuán)隊(duì)以發(fā)現(xiàn)公司本身開(kāi)發(fā)的軟件以及其他公司開(kāi)發(fā)的軟件中的漏洞而聞名。它的方法包括確定軟件中的安全漏洞并將其秘密報(bào)告給供應(yīng)商，從而讓他們有90天的時(shí)間修復(fù)這些漏洞，然后再公開(kāi)披露。根據(jù)所需修復(fù)程序的復(fù)雜性，有時(shí)還會(huì)以寬限期的形式提供額外的工作日。

在過(guò)去的幾年里，球隊(duì)已經(jīng)揭示了重大漏洞的Windows 10秒，MacOS的內(nèi)核，與iOS，等等。現(xiàn)在，它已在昨天的補(bǔ)丁星期二更新中聲稱(chēng)已被Microsoft提供了一個(gè)不完整的修復(fù)程序之后，披露了各種版本的Windows中的“中等”嚴(yán)重性漏洞。

該漏洞于2020年5月5日首次報(bào)告給Microsoft，即使應(yīng)用程序不具備此功能，它也可以通過(guò)用戶(hù)的憑據(jù)繞過(guò)網(wǎng)絡(luò)身份驗(yàn)證。

盡管Google對(duì)該漏洞的摘要充滿(mǎn)了技術(shù)術(shù)語(yǔ)(您可以在此處自由深入閱讀)，但主要問(wèn)題是舊版Windows AppContainer通過(guò)單點(diǎn)登錄授予對(duì)企業(yè)身份驗(yàn)證的訪問(wèn)權(quán)限，這是受限制的提供訪問(wèn)敏感功能的功能。因此，它不會(huì)自動(dòng)獲得Windows Store應(yīng)用程序的批準(zhǔn)，并且主要用于側(cè)載企業(yè)應(yīng)用程序中。

盡管這本身不是缺陷，但是當(dāng)應(yīng)用程序向網(wǎng)絡(luò)代理進(jìn)行身份驗(yàn)證時(shí)，UWP網(wǎng)絡(luò)錯(cuò)誤地將異常作為例外時(shí)，就會(huì)出現(xiàn)問(wèn)題。Google Project Zero的安全研究員James Forshaw指出：

這意味著AppContainer可以執(zhí)行網(wǎng)絡(luò)身份驗(yàn)證，只要它為InitializeSecurityContext指定了有效的目標(biāo)名稱(chēng)，網(wǎng)絡(luò)地址是否為已注冊(cè)代理都無(wú)關(guān)緊要。這可能不是設(shè)計(jì)使然，但是此行為僅需引起一些拋棄，就其行為方式?jīng)]有深入的細(xì)節(jié)，也許是設(shè)計(jì)使然。

結(jié)果是，您可以指定任意目標(biāo)名稱(chēng)，只要應(yīng)用程序具有不受限制的網(wǎng)絡(luò)訪問(wèn)功能，就可以向面向網(wǎng)絡(luò)的資源進(jìn)行身份驗(yàn)證。同樣，由于您可以指定任何目標(biāo)名稱(chēng)，并且您正在執(zhí)行實(shí)際的身份驗(yàn)證，因此諸如SPN檢查和SMB簽名之類(lèi)的服務(wù)器保護(hù)就顯得毫無(wú)意義。

Forshaw解釋說(shuō)，從理論上講，由于防火墻API中存在后門(mén)，本地攻擊者可以通過(guò)使用Classic Edge訪問(wèn)本地主機(jī)服務(wù)來(lái)利用此漏洞，然后找到要轉(zhuǎn)義的系統(tǒng)服務(wù)。

有趣的是，這只是缺陷的一部分。Forshaw聲稱(chēng)，即使處理網(wǎng)絡(luò)地址不是代理的Microsoft代碼是正確的，它仍然可以被繞過(guò)，因?yàn)樗{(diào)用“ DsCrackSpn2”將服務(wù)類(lèi)/實(shí)例：端口/服務(wù)名形式的網(wǎng)絡(luò)目標(biāo)名稱(chēng)解析為單個(gè)組件，但很顯然，即使這樣做也不正確。

還附帶了概念驗(yàn)證(PoC)代碼，以顯示應(yīng)用程序如何繞過(guò)企業(yè)身份驗(yàn)證來(lái)獲得更高的特權(quán)。PoC嘗試列出Windows Server消息塊(SMB)的共享，即使OS不允許此訪問(wèn)，本地共享仍會(huì)列出。

Google Project Zero為Microsoft提供了標(biāo)準(zhǔn)的90天期限來(lái)修復(fù)此漏洞，并在7月31日提供了寬限期，以便公司可以在8月的補(bǔ)丁周二推出該修復(fù)程序。盡管微軟確實(shí)確實(shí)在昨天的CVE-2020-1509中發(fā)布了該修復(fù)程序，并贊揚(yáng)了詹姆斯· 弗肖( James Forshaw)發(fā)現(xiàn)了此修復(fù)程序，但零號(hào)項(xiàng)目團(tuán)隊(duì)聲稱(chēng)這是不完整的修復(fù)程序，因?yàn)樗鼪](méi)有糾正DsCrackSpn2目標(biāo)名稱(chēng)解析技術(shù)。因此，Google現(xiàn)在已經(jīng)按照其政策公開(kāi)披露了該漏洞。

盡管安全漏洞似乎非常復(fù)雜，以致于普通腳本小子無(wú)法利用，但特權(quán)提升(即使是本地特權(quán))也很危險(xiǎn)。根據(jù)Microsoft的安全公告，此問(wèn)題會(huì)影響Windows的多個(gè)版本，包括Windows Server 2012、2016、2019，Windows RT 8.1、8.1和Windows 10一直到2004版本。