您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
ZDI總結(jié)全年最重要的五個(gè)漏洞
寫在前面的話
在這一年即將結(jié)束之際,我們?cè)诖嘶仡櫼幌挛覀冊(cè)?020年收到的一些最有意思的漏洞報(bào)告。毫無(wú)疑問(wèn),將今年已報(bào)告的1400多個(gè)漏洞縮減為只有5個(gè),這絕對(duì)是一個(gè)相當(dāng)大的挑戰(zhàn)。在這篇文章中,我們所分析的這5個(gè)安全漏洞是從這1400多個(gè)漏洞中脫穎而出的,接下來(lái),我們一起看看到底是哪五個(gè)漏洞殺出了重圍。
CVE-2020-0688/ZDI-20-258
CVE-2020-0688/ZDI-20-258:Microsoft Exchange Server的Exchange控制面板加密密鑰遠(yuǎn)程代碼執(zhí)行漏洞
這個(gè)漏洞是Microsoft Exchange Server的Exchange控制面板中存在的一個(gè)加密密鑰遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞是由一位匿名安全研究專家上報(bào)的,Microsoft Exchange Server中的這個(gè)高度嚴(yán)重的漏洞將允許任何經(jīng)過(guò)身份驗(yàn)證的Exchange用戶獲得服務(wù)器上的SYSTEM權(quán)限。該漏洞位于Exchange管理中心Web界面中,即雖然這個(gè)Web界面被稱為“管理”界面,但在默認(rèn)情況下,任何擁有Exchange服務(wù)器上郵箱憑據(jù)的或者可以在網(wǎng)絡(luò)上公開(kāi)訪問(wèn)Outlook Web Access的用戶都可以使用該界面。漏洞與Exchange管理中心(ASP.NET應(yīng)用程序)中安裝的加密密鑰(“計(jì)算機(jī)密鑰”)有關(guān),xchange應(yīng)該在安裝時(shí)隨機(jī)生成這些密鑰,以便實(shí)現(xiàn)保持對(duì)每個(gè)安裝的機(jī)密性和唯一性。但是現(xiàn)在,它們卻是從安裝介質(zhì)中逐字復(fù)制的,因此外部攻擊者可以通過(guò)引用產(chǎn)品的任何其他安裝源來(lái)獲取到這些密鑰。攻擊者可以利用獲取到的密鑰信息偽造出將在服務(wù)器上反序列化的消息,從而實(shí)現(xiàn)任意代碼的執(zhí)行。Exchange服務(wù)器中的這個(gè)漏洞非常嚴(yán)重,因?yàn)镋xchange一般都扮演著企業(yè)神經(jīng)中樞的角色,這使得該漏洞成為了網(wǎng)絡(luò)犯罪分子眼中一個(gè)非常有價(jià)值的目標(biāo)。如果您的組織目前還沒(méi)有修復(fù)該漏洞的話,我們建議大家盡快修復(fù)。
參考資料:
https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys
CVE-2020-3992/ZDI-20-1377
CVE-2020-3992/ZDI-20-1377:
VMware ESXi SLP用后釋放遠(yuǎn)程代碼執(zhí)行漏洞
這個(gè)漏洞是由ZDI漏洞研究人員Lucas Leong發(fā)現(xiàn)的,ESXi是由VMWare開(kāi)發(fā)的企業(yè)級(jí)管理程序,ESXi中默認(rèn)啟用的協(xié)議之一是服務(wù)位置協(xié)議(SLP)。SLP是一種使客戶端能夠發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)的協(xié)議,目前最流行的SLP實(shí)現(xiàn)就是OpenSLP了。然而,Lucas發(fā)現(xiàn)ESXi使用的是他們自己的定制實(shí)現(xiàn)方式。重要的是,這個(gè)自定義實(shí)現(xiàn)中存在設(shè)計(jì)缺陷,從而導(dǎo)致了兩個(gè)嚴(yán)重的安全問(wèn)題出現(xiàn)。其中一個(gè)安全問(wèn)題將導(dǎo)致程序在SLPDProcessMessage()中釋放SLPMessage對(duì)象,但是該程序仍會(huì)在SLPDatabase結(jié)構(gòu)中保留對(duì)已釋放對(duì)象的引用。這也就導(dǎo)致了用后釋放(UAF)的情況出現(xiàn),而遠(yuǎn)程攻擊者將能夠通過(guò)網(wǎng)絡(luò)來(lái)觸發(fā)并利用該漏洞。這個(gè)漏洞最初被標(biāo)記為了ZDI-CAN-11563。但是,VMWare所提供的安全補(bǔ)丁并沒(méi)有完全解決這個(gè)問(wèn)題,這便導(dǎo)致了ZDI-CAN-12190的出現(xiàn)。應(yīng)該注意的是,除了可以遠(yuǎn)程利用之外,這些SLP問(wèn)題還可以被攻擊者利用來(lái)幫助在受限環(huán)境中運(yùn)行的程序?qū)崿F(xiàn)沙箱逃逸。這也足以證明,即使是經(jīng)過(guò)大量研究的產(chǎn)品,比如說(shuō)ESXi,也有可能存在嚴(yán)重的攻擊面,這些攻擊面往往容易被忽視,因此存在較嚴(yán)重的安全風(fēng)險(xiǎn)。
CVE-2020-9850/ZDI-20-672
CVE-2020-9850/ZDI-20-672:Apple Safari JIT模式下的類型混淆遠(yuǎn)程代碼執(zhí)行漏洞
這個(gè)漏洞是由喬治亞理工系統(tǒng)軟件與安全實(shí)驗(yàn)室的團(tuán)隊(duì)在春季Pwn2Own競(jìng)賽中報(bào)告的,該漏洞同時(shí)也是一條有趣漏洞利用鏈(與Webkit的類型混淆問(wèn)題有關(guān))的一部分。由于這個(gè)漏洞,Safari將具備執(zhí)行“.app”符號(hào)鏈接的能力,這是由OpenGL的CVM(核心虛擬機(jī))中的堆溢出漏洞所導(dǎo)致的。此外,由于競(jìng)爭(zhēng)條件的存在,將有可能在cfprefsd和kextload中實(shí)現(xiàn)root訪問(wèn)或權(quán)限提升。研究人員在Pwn2Own上成功演示了該漏洞,并贏得了七萬(wàn)美金的漏洞獎(jiǎng)勵(lì)。這個(gè)漏洞的利用場(chǎng)景比較可怕,因?yàn)楫?dāng)一個(gè)毫無(wú)防備的受害者在訪問(wèn)一個(gè)簡(jiǎn)單的網(wǎng)頁(yè)時(shí),這一切他都是毫不知情,因?yàn)闉g覽網(wǎng)頁(yè)10秒后,惡意代碼將會(huì)在目標(biāo)用戶的設(shè)備上運(yùn)行,一切都是在后臺(tái)悄悄完成的。
CVE-2020-7460/ZDI-20-949
CVE-2020-7460/ZDI-20-949:FreeBSD內(nèi)核sendmsg系統(tǒng)調(diào)用TOCTU權(quán)限提升漏洞
這個(gè)漏洞是由一個(gè)名叫m00nbsd的研究人員報(bào)告給ZDI的。該漏洞允許攻擊者利用32位sendmsg()系統(tǒng)調(diào)用中存在的TOCTU漏洞,以初始為非特權(quán)的用戶身份在FreeBSD上執(zhí)行內(nèi)核級(jí)代碼。該漏洞是系統(tǒng)調(diào)用中的一個(gè)雙重獲取漏洞,為了觸發(fā)溢出,用戶必須必須在第一次訪問(wèn)和第二次訪問(wèn)之間用更大的值替換其中一個(gè)MsgLen值。攻擊者可以通過(guò)在循環(huán)中生成一個(gè)調(diào)用sendmsg()的線程來(lái)觸發(fā)該漏洞,并為其提供正確的參數(shù)。然后,它們可以生成另一個(gè)線程,用一個(gè)巨大的值替換其中一個(gè)MsgLen,然后將正確的值放回一個(gè)循環(huán)中。接下來(lái),等待兩個(gè)線程爭(zhēng)用這個(gè)資源,便會(huì)觸發(fā)溢出。令人驚訝的是,這個(gè)漏洞隱藏得并不深,但這么多年來(lái)卻沒(méi)人發(fā)現(xiàn)它。
CVE-2020-17057/ZDI-20-1371
CVE-2020-17057/ZDI-20-1371:Microsoft Windows DirectComposition未初始化的指針權(quán)限提升漏洞
一位匿名研究員向ZDI報(bào)告了這個(gè)漏洞。這個(gè)漏洞存在于Windows DirectComposition內(nèi)核模式圖形組件之中,win32kbase!DirectComposition::CInteractionTrackerMarshaler::SetBufferProperty函數(shù)基于從用戶模式傳遞的數(shù)據(jù)填充DirectComposition::CInteractionTrackerMarshaler類型的對(duì)象。如果此函數(shù)遇到無(wú)效數(shù)據(jù),它將切換到一條錯(cuò)誤路徑,該路徑將嘗試釋放函數(shù)已創(chuàng)建并存儲(chǔ)在對(duì)象中的資源。由于此錯(cuò)誤路徑中存在安全問(wèn)題,可能會(huì)影響函數(shù)釋放從未初始化的指針。這使攻擊者能夠在內(nèi)核模式下控制指令指針,從而獲得SYSTEM權(quán)限。
總結(jié)
我們回顧了今年提交給ZDI項(xiàng)目的一些最佳漏洞,多年來(lái),許多事情都發(fā)生了變化,但我們與來(lái)自全球各地的獨(dú)立安全研究人員合作的愿望從未動(dòng)搖過(guò)。如果您已經(jīng)參與到了我們的計(jì)劃之中,我們感謝您的辛勤工作和參與。如果您還沒(méi)有提交計(jì)劃,我們希望您將來(lái)考慮提交。
來(lái)源:FreeBuf