近期,Google Project Zero研究人员公开了Windows 10的一个0-day漏洞,攻击者利用这个漏洞,可在用户模式代码完整性(UMCI)的设备保护环境中绕过Windows锁定策略,
攻击目标计算机并执行任意代码。目前,启用UMCI的Windows 10所有版本都有可能受到影响。
影响所有启用UMCI的版本
根据发布的漏洞利用POC,这个漏洞代码主要包括两个文件:用于设置注册表的 .INF 以及使用DotNetToJScript 免费工具创建的.SCT(可用于将不可信的 .NET程序集加载到内存中以显示消息框)。
“利用这个.NET中的漏洞,可以在启用了UMCI的系统上执行任意代码(例如Device Guard),可以绕过启用的Windows锁定策略检查COM类实例化。”研究人员称。
当.NET COM对象被实例化时,0-day漏洞与WLDP COM类锁定策略的行为方式联系在一起。WLDP COM Class锁定策略中含有8至50个COM对象的硬编码列表,这些对象可以让启发脚本引擎实例化。
微软.net UMCI安全绕过0-day漏洞,POC已公开
Google 0-day项目成员James Forshaw公开披露了这个问题,研究人员表示,这个0-day漏洞之所以被公开,是因为微软没有按照谷歌披露政策,在90天响应期内修复漏洞。该0-day漏洞影响所有启用了UMCI的Windows 10版本,Forshaw在Windows 10上成功验证了该漏洞。
分享到:
閱讀更多 安勝ANSCEN 的文章
