Google Project Zero团队在23日,披露了位于Windows 10的零时差漏洞CVE-2020-17008,这并非是个全新的漏洞,而是起因于微软在6月对CVE-2020-0986漏洞修补不完全所造成,而且只要稍加修改针对CVE-2020-0986漏洞的开采程序,就能开采CVE-2020-17008。
最初的CVE-2020-0986为Windows核心的权限扩张漏洞,当Windows核心无法妥善处理内存中的对象时便会被触发,成功开采该漏洞的黑客可于核心模式执行任意程序代码,包括安装程序,查看/变更/删除资料,或是创建具备完整用户权限的新账号,但开采前提是黑客必须先登录系统。
微软似乎忽视了CVE-2020-0986漏洞,因为趋势科技的Zero Day Initiative(ZDI)是在去年12月便向微软提报该漏洞,但当时微软认为这是个不太可能被开采的漏洞而迟迟未修补,使得ZDI在今年5月19日公布了漏洞细节,隔天卡巴斯基便发现了利用CVE-2020-0986漏洞的攻击行动,也促使微软着手于今年6月的Patch Tuesday修补它。
然而,Google Project Zero团队的Maddie Stone在今年9月发现,微软对CVE-2020-0986的修补并不完整。根据Stone的说法,最初的问题存在于任意指标的取消引用,让黑客得以控制至memcpy的src与dest指标,而微软的修补只是简单地变更指标的位移,依然能够控制至memcpy的args,留下了CVE-2020-17008漏洞。
Stone也创建了针对CVE-2020-17008漏洞的概念性验证攻击程序(POC),而且是利用卡巴斯基替CVE-2020-0986所打造的POC稍加调整而已。
Stone提醒,今年以来已有多起零时差攻击行动,是开采了修补不正确或不完全的已知漏洞,当这些零时差漏洞未被正确修补时,黑客即可利用对原漏洞的了解与攻击方法,轻易袭击新的零时差漏洞。
Google Project Zero团队在今年9月就通报微软,微软原先计划要在今年11月修补CVE-2020-17008,却一直延后到明年1月12日,超过了90天的缓冲期,而让该团队本周就公布了漏洞细节。