Google的零日团队披露了WindowsPrintSpoolerAPI中未修补的0-day安全漏洞的详细信息,一些威胁参与者可能利用该漏洞执行任意代码。微软在9月24日未披露漏洞后90天内未能修补该漏洞后,该未修补漏洞的详细信息被公开披露。该漏洞最初被追踪为CVE-2020-0986,涉及GDIPrint/后台打印程序API(“splwow64.exe”)。趋势科技零日计划(ZDI)的匿名用户于2019年12月下旬向Microsoft报告了该漏洞。然而,在六个月没有看到补丁后,ZDI终于在今年5月19日发布了一个公共咨询,并在随后针对一家未具名的韩国公司的“PowerFall行动”活动中被利用。“splwow64.exe”是Windows核心系统的二进制文件,允许32位应用程序连接到Windows系统上的64位打印机后台处理程序服务,实现其他进程可以使用Access的本地过程调用(LPC)服务器打印功能。成功利用此漏洞的攻击者可以通过操纵“splwow64.exe”进程的内存实现在内核模式下执行任意代码,最终利用其安装恶意程序、查看更改或删除的数据、创建具有完全用户权限的新帐户、等等等等。然而,要实现这一目标,攻击者必须首先登录到有问题的目标系统。尽管微软终于在2019年6月补丁星期二发布了针对该漏洞的补丁,但谷歌安全团队的新发现表明该漏洞尚未得到完全修复。谷歌零计划研究员MaddieStone在一篇文章中写道:“漏洞依然存在,只是攻击者需要改变攻击方式。”Stone详细说明:“最初的问题是任意指针解引用,这允许攻击者控制指向memcpy的src和dest指针”,“'fix'只是将指针更改为偏移量,它仍然控制memcpy的参数。最新报告的特权提升漏洞被识别为CVE-2020-17008,预计将在2021年1月12日由微软解决,此前微软承诺将在11月对“测试期间发现的问题”进行初步修复。Stone还分享了CVE-2020-17008的概念验证(PoC)利用代码,该代码基于卡巴斯基针对CVE-2020-0986的POC。Stone说:“今年0day事件太多了,而且这些漏洞没有得到很好的修复,所以经常被攻击者利用。”“当野外的0day没有被完全修复时,攻击者可以重用他们的漏洞知识和利用方法可以轻松开发新的0day。》本文翻译自:https://thehackernews.com/2020/12/google-discloses-poorly-patched-now.html
