二十年，可以讓一個(gè)漂亮的小姐姐變成一個(gè)。。。。成熟的大姐姐。

但二十年過(guò)去，微軟有個(gè)漏洞居然還沒(méi)補(bǔ)！

美國(guó)時(shí)間 8 月 14 日，外媒 BleepingComputer 報(bào)道，谷歌 Project Zero 旗下安全研究人員 Tavis Ormandy 在 Windows 文本服務(wù)框架下的 CTF 子系統(tǒng)（MSCTF）中發(fā)現(xiàn)了嚴(yán)重的設(shè)計(jì)缺陷。讓人無(wú)語(yǔ)的是，這一設(shè)計(jì)缺陷簡(jiǎn)直是微軟的“家族遺傳病”，從 Windows XP 到 Windows 10 都沒(méi)能甩掉這個(gè)病根。

雷鋒網(wǎng)了解到，上古級(jí)的 Windows XP 基礎(chǔ)系統(tǒng)中并沒(méi)有這些設(shè)計(jì)缺陷，但只要你裝了微軟家的 Office 套件，MSCTF 和它“隨身攜帶”的漏洞照樣會(huì)趁虛而入。

Ormandy 指出，只要攻擊者已經(jīng)登入 Windows 系統(tǒng)，就能利用源于 MSCTF 的設(shè)計(jì)缺陷“占到大便宜”。有兩把刷子的黑客甚至能對(duì)整個(gè)系統(tǒng)實(shí)施全面入侵，拿到系統(tǒng)級(jí)控制權(quán)。

“這個(gè)漏洞存在了快 20 年時(shí)間，居然沒(méi)人發(fā)現(xiàn)，真是不可思議?！監(jiān)rmandy 補(bǔ)充道。

Ormandy 還專門(mén)在 YouTube 上發(fā)了視頻演示，展示自己是如何利用 MSCTF 漏洞劫持 Windows 登陸界面并獲得系統(tǒng)級(jí)控制權(quán)的，而演示中的系統(tǒng)就是微軟最新的 Windows 10 操作系統(tǒng)。

“簡(jiǎn)單來(lái)說(shuō)，在 Windows 系統(tǒng)中一個(gè)無(wú)權(quán)限的低完整性過(guò)程是禁止向高權(quán)限過(guò)程發(fā)送輸入或閱讀其數(shù)據(jù)的?！監(jiān)rmandy 說(shuō)道?！安贿^(guò)，CTF 打破了這一設(shè)定，原本低人一等的無(wú)權(quán)限過(guò)程居然翻身農(nóng)奴把歌唱了?！?/strong>

“有了這種以下犯上的權(quán)利，攻擊者就能向更高級(jí)別的命令窗口發(fā)送指令，讀取會(huì)話外的密碼，并通過(guò)向沒(méi)有沙盒保護(hù)的 Windows 發(fā)送輸入逃脫 IL/AppContainer 沙盒的控制。” Ormandy 繼續(xù)解釋道。

除了上述危害，MSCTF 設(shè)計(jì)缺陷還讓攻擊者能使用被入侵的應(yīng)用去入侵另一個(gè)應(yīng)用的 CTF 客戶端，從而隨意執(zhí)行新程序。如果第一個(gè)被入侵的應(yīng)用就有高級(jí)權(quán)限，新程序就能獲得相同的高級(jí)權(quán)限。

“這就意味著，你破掉 Windows 上的計(jì)算器后，就能以此為跳板干掉任何 CTF 客戶端。眾所周知，在 Windows 8 及之前的系統(tǒng)中，攻破計(jì)算器簡(jiǎn)直易如反掌。”O(jiān)rmandy 補(bǔ)充道。

此外，在默認(rèn)配置下，CTF 協(xié)議中的內(nèi)存崩潰漏洞也能被攻擊者利用，不管你用的是哪種系統(tǒng)語(yǔ)言或區(qū)域設(shè)定。

在 Ormandy 看來(lái)，他列出的這些潛在危害只不過(guò)是些皮毛，那些攻擊者一旦使起壞來(lái)會(huì)讓你措手不及。

MSCTF 協(xié)議的窟窿只能算補(bǔ)了一半？

今年 5 月，微軟通過(guò)安全升級(jí)包（CVE-2019-1162）對(duì) Ormandy 發(fā)現(xiàn)的一些問(wèn)題進(jìn)行了修補(bǔ)。不過(guò)，MSCTF 協(xié)議現(xiàn)在是否還是滿身窟窿我們也不得而知。

微軟指出，它們的安全補(bǔ)丁修補(bǔ)了權(quán)限升級(jí)漏洞（ALPC）。透過(guò)該漏洞，攻擊者能在本地系統(tǒng)的安全上下文中運(yùn)行任意代碼，隨后實(shí)現(xiàn)安裝程序、查閱、修改或刪除數(shù)據(jù)等操作。他們甚至能生成一個(gè)擁有全部用戶權(quán)限的新賬號(hào)。

需要注意的是，已經(jīng)被微軟“拋棄”的 Windows XP 無(wú)法使用該補(bǔ)丁包，Windows 7 32位及之后的 Windows 系統(tǒng)均可下載升級(jí)。

雷鋒網(wǎng)覺(jué)得，也別太擔(dān)心，即使是沒(méi)打補(bǔ)丁還被黑客盯上，他在獲得系統(tǒng)控制權(quán)前也得先過(guò)認(rèn)證這一關(guān)。

除了對(duì)該漏洞的深度解析，Ormandy 還公布了一系列工具和代碼（將問(wèn)題通知微軟 3 個(gè)月后），它們都可被用來(lái)攻擊 Windows MSCTF 設(shè)計(jì)缺陷。

好在，微軟發(fā)言人聲稱，一些相關(guān)問(wèn)題已經(jīng)在昨天推送的 8 月升級(jí)包中解決了。不過(guò)，有消息人士卻透露稱，微軟其實(shí)還在努力填這個(gè)設(shè)計(jì)缺陷的大坑呢。

雷鋒網(wǎng)注：本文編譯自 BleepingComputer 。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。