内存安全周报第84期 | 微软未能解决的 Windows0day漏洞发布非官方补丁
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
微软未能解决的Windows0day漏洞发布非官方补丁(3.22)
微软几个月来一直未能完全解决Windows中的本地权限升级0day漏洞(CVE-2021-34484),该漏洞允许用户在Windows 10、Windows 11和Windows Server中获得管理权限。
详细情况
CVE-2021-34484是Windows用户配置文件服务中的本地利用漏洞,CVSS v3得分7.8。虽然过去披露过关于这个漏洞的利用,但研究人员认为该漏洞并没有广泛在野利用。
该漏洞的特殊之处在于:微软自去年夏天发现该漏洞以来,一直无法解决该漏洞,而且已经两次将该漏洞标记为已修复。
根据0patch团队的说法,该团队已经非正式地为停止运行的Windows版本和一些微软不会解决的漏洞提供了修复,并且该漏洞仍然是0day漏洞。事实上,微软的补丁不仅未能修复该漏洞,还破坏了0patch之前的非官方补丁。
该漏洞是由安全研究员Abdelhamid Naceri发现并披露的,微软在2021年8月的周二补丁日修复了该漏洞。在补丁发布后不久,Naceri注意到微软的补丁并不完整,并提出了一个在所有Windows版本都绕过该补丁的概念证明(PoC)。
0patch团队由此介入,发布了一个针对所有Windows版本的非官方安全更新,并允许所有注册用户免费下载。微软也通过发布2022年1月周二补丁日的第二次安全更新来回应这一绕过,给绕过一个新的追踪编码CVE-2022-21919,并将其标记为已修复。然而,Naceri再次找到方法来绕过这次修复,并表示情况更加糟糕。
针对第二次绕过测试补丁时,0patch发现他们的补丁“profext.dll”DLL仍然可以保护用户,保持系统安全。然而,微软的第二次修复尝试替换了“profext.DLL”文件,导致所有应用了2022年1月Windows更新的人都删除了非官方修复。
0patch现已与微软2022年3月周二补丁日更新合作移植了补丁,并免费向所有用户提供。
参考链接
https://www.bleepingcomputer.com/news/microsoft/windows-zero-day-flaw-giving-admin-rights-gets-unofficial-patch-again/?&web_view=true