Google Project Zero團隊在23日,披露了位於Windows 10的零時差漏洞CVE-2020-17008,這並非是個全新的漏洞,而是起因於微軟在6月對CVE-2020-0986漏洞修補不完全所造成,而且只要稍加修改針對CVE-2020-0986漏洞的開採程序,就能開採CVE-2020-17008。
最初的CVE-2020-0986為Windows核心的權限擴張漏洞,當Windows核心無法妥善處理內存中的對象時便會被觸發,成功開採該漏洞的黑客可於核心模式執行任意程序代碼,包括安裝程序,查看/變更/刪除資料,或是創建具備完整用戶權限的新帳號,但開採前提是黑客必須先登錄系統。
微軟似乎忽視了CVE-2020-0986漏洞,因為趨勢科技的Zero Day Initiative(ZDI)是在去年12月便向微軟提報該漏洞,但當時微軟認為這是個不太可能被開採的漏洞而遲遲未修補,使得ZDI在今年5月19日公布了漏洞細節,隔天卡巴斯基便發現了利用CVE-2020-0986漏洞的攻擊行動,也促使微軟著手於今年6月的Patch Tuesday修補它。
然而,Google Project Zero團隊的Maddie Stone在今年9月發現,微軟對CVE-2020-0986的修補並不完整。根據Stone的說法,最初的問題存在於任意指標的取消引用,讓黑客得以控制至memcpy的src與dest指標,而微軟的修補只是簡單地變更指標的位移,依然能夠控制至memcpy的args,留下了CVE-2020-17008漏洞。
Stone也創建了針對CVE-2020-17008漏洞的概念性驗證攻擊程序(POC),而且是利用卡巴斯基替CVE-2020-0986所打造的POC稍加調整而已。
Stone提醒,今年以來已有多起零時差攻擊行動,是開採了修補不正確或不完全的已知漏洞,當這些零時差漏洞未被正確修補時,黑客即可利用對原漏洞的了解與攻擊方法,輕易襲擊新的零時差漏洞。
Google Project Zero團隊在今年9月就通報微軟,微軟原先計劃要在今年11月修補CVE-2020-17008,卻一直延後到明年1月12日,超過了90天的緩衝期,而讓該團隊本周就公布了漏洞細節。