previouswords随着这一年接近尾声,我们在这里回顾一下我们在2020年收到的一些最有趣的漏洞报告。毫无疑问,削减1,400+今年报告的漏洞只有五个,这绝对是一个相当大的挑战。在本文中,我们分析的五个安全漏洞从1,400多个漏洞中脱颖而出。接下来我们就来看看是哪五个漏洞爆发了。CVE-2020-0688/ZDI-20-258CVE-2020-0688/ZDI-20-258:MicrosoftExchangeServerExchange控制面板加密密钥远程代码执行漏洞该漏洞存在于MicrosoftExchangeServerExchange控制面板加密密钥远程代码执行中漏洞。据一位匿名安全研究专家报告,MicrosoftExchangeServer中的这个高危漏洞将允许任何经过身份验证的Exchange用户获得服务器上的SYSTEM权限。该漏洞存在于Exchange管理中心Web界面中,这意味着尽管此Web界面称为“管理”界面,但默认情况下,任何在Exchange服务器上具有邮箱凭据或在网络上对OutlookWebAccess具有公共访问权限的用户都可以使用此界面可以使用。该漏洞与安装在Exchange管理中心(ASP.NET应用程序)中的加密密钥(“计算机密钥”)有关,这些密钥应该由xchange在安装时随机生成,以便实现对每个安装保持机密和唯一性别。但是现在,它们是从安装介质中逐字复制的,因此外部攻击者可以通过引用产品的任何其他安装源来获取这些密钥。攻击者可以利用获取到的密钥信息伪造消息在服务器端反序列化,从而实现任意代码执行。Exchange服务器中的漏洞很严重,因为Exchange通常充当企业的神经中枢,使其成为网络犯罪分子非常有价值的目标。如果您的组织尚未修补此漏洞,我们鼓励大家尽快修复它。参考:【点我获取】CVE-2020-3992/ZDI-20-1377CVE-2020-3992/ZDI-20-1377:VMwareESXiSLP释放后使用远程代码执行漏洞该漏洞由ZDI漏洞发现研究员LucasLeong发现,ESXi是VMWare开发的企业级管理程序,ESXi默认启用的协议之一是服务定位协议(SLP)。SLP是一种使客户端能够发现网络服务的协议。目前,最流行的SLP实现是OpenSLP。然而,Lucas发现ESXi正在使用他们自己的自定义实现。重要的是,此自定义实现中存在设计缺陷,会导致两个严重的安全问题。其中一个安全问题会导致程序释放SLPDProcessMessage()中的SLPMessage对象,但程序仍会在SLPDatabase结构中保留对已释放对象的引用。这会导致释放后使用(UAF)情况,远程攻击者可以通过网络触发和利用这种情况。此漏洞最初标记为ZDI-CAN-11563。但是VMWare提供的安全补丁并没有彻底解决这个问题,导致了ZDI-CAN-12190的出现。需要注意的是,这些SLP问题除了可以被远程利用外,还可以被攻击者利用,帮助运行在受限环境中的程序实现沙箱逃逸。这足以证明,即使是经过大量研究的产品,如ESXi,也可能存在严重的攻击面。这些攻击面往往很容易被忽视,因此存在严重的安全风险。CVE-2020-9850/ZDI-20-672CVE-2020-9850/ZDI-20-672:AppleSafariJIT模式下的类型混淆远程代码执行漏洞在Pwn2Own竞赛中报告,该漏洞也是一个有趣的利用链相关的一部分到Webkit的类型混淆问题。由于该漏洞,Safari将具有执行“.app”符号链接的能力,这是由OpenGL的CVM(核心虚拟机)中的堆溢出漏洞引起的。此外,由于竞争条件,将有可能在cfprefsd和kextload中实现根访问或特权升级。研究人员在Pwn2Own上成功演示了该漏洞,并赢得了70,000的漏洞赏金。这个漏洞的利用场景很可怕,因为当一个毫无戒心的受害者访问一个简单的网页时,他对此一无所知,因为浏览网页10秒后,恶意代码就会在目标用户的设备上悄悄地完成一切在后台。CVE-2020-7460/ZDI-20-949CVE-2020-7460/ZDI-20-949:FreeBSD内核sendmsg系统调用TOCTU权限提升漏洞该漏洞由名为m00nbsd的研究人员报告给ZDI。此漏洞允许攻击者通过利用32位sendmsg()系统调用中的TOCTU漏洞,以初始非特权用户身份在FreeBSD上执行内核级代码。该漏洞是系统调用中的双重获取漏洞,为了触发溢出,用户必须在第一次访问和第二次访问之间将其中一个MsgLen值替换为较大的值。攻击者可以通过在循环中生成一个调用sendmsg()的线程并为其提供正确的参数来触发该漏洞。然后他们可以生成另一个线程,用一个巨大的值替换其中一个MsgLen,然后将正确的值放回循环中。接下来,等待两个线程争用这个资源会触发溢出。令人惊讶的是,这个错误并没有隐藏得很深,却被忽视了这么多年。有关此漏洞的更多详细信息(包括PoC),您可以参考这篇[文章]。CVE-2020-17057/ZDI-20-1371CVE-2020-17057/ZDI-20-1371:MicrosoftWindowsDirectComposition未初始化指针特权升级漏洞一位匿名研究人员向ZDI报告了此漏洞。该漏洞存在于WindowsDirectComposition内核模式图形组件中。win32kbase!DirectComposition::CInteractionTrackerMarshaler::SetBufferProperty函数根据从用户模式传递的数据填充DirectComposition::CInteractionTrackerMarshaler类型的对象。如果此函数遇到无效数据,它将切换到错误路径,该路径将尝试释放函数已创建并存储在对象中的资源。由于此错误路径中的安全问题,函数可能会受到影响以释放未初始化的指针。这使得攻击者能够在内核模式下获得指令指针的控制权,从而获得SYSTEM权限。总结我们回顾了今年提交给ZDI项目的一些最佳漏洞利用。多年来,许多事情都发生了变化,但我们与全球独立安全研究人员合作的愿望从未动摇过。如果您参与了我们的计划,我们感谢您的辛勤工作和参与。如果您还没有提交计划,我们希望您以后考虑提交。
