Google的Project Zero团队最近在Windows 10操作系统中发现了一个零日漏洞,可以绕过Windows的锁定策略并执行相关代码。该漏洞尚未修复。Google团队的研究人员已经在Windows 10s系统计算机上启用了UMCI身份验证。.NET漏洞可以绕过检查COM库实例的Windows锁定策略。研究人员认为,这个漏洞不仅会影响Windows 10,而且其他版本的Windows 10操作系统也会受到影响。
问题来自加载.NET COM对象导致的WLDP COM库的锁定策略响应。在正常情况下,锁定策略包含8到50个只能由启发式脚本引擎加载的固定写入COM对象的列表。即使您可以使用可信的COM CLSID来注册现有的动态链接库(DLL),仍需要根据预先写入的列表检查DLLGetObject中的CLSID以确保安全。当前的漏洞是,只要加载.NET COM对象,DLLGetObject中的CLSID只需查找系统注册表中的HKEY_CLASS_ROOT(HKCR)注册信息,然后不再需要CLSID。.NET COM对象被创建。所以黑客可以添加注册表值,
黑客可以使用免费的DotNetToJScript脚本工具就像由Forshaw生成的用于生成引导JScript的.NET代码的工具。他还发布了两个文件:设置注册表的.INF文件和验证系统内存中的漏洞的.SCT文件。加载不受信任的.NET代码,弹出消息窗口。
该漏洞于今年1月19日向微软报告。但是,在90天的修补期后,Microsoft未能修复此漏洞并且未公布具体的修复计划。幸运的是,这个缺陷并不大,即使它被宣布,也不会有太大的影响。目前,只有在Windows 10s系统中启用Device Guard功能才会受到影响,不能远程攻击,也没有提升权限的功能。
领取专属 10元无门槛券
私享最新 技术干货