ZDI为我们回顾2020年以来收到的1,400+个漏洞中的5个最具代表性的漏洞。
Top1
CVE-2020-0688 / ZDI-20-258:Microsoft Exchange Server Exchange控制面板修复了加密密钥远程执行代码漏洞。
由一位匿名研究人员报告。Microsoft Exchange Server中允许任何经过身份验证的Exchange用户获得服务器上的SYSTEM特权。该漏洞可在Exchange管理中心Web界面中找到。即使此Web界面称为“管理”界面,默认情况下,任何对Exchange服务器上的邮箱具有凭据并且与Outlook Web Access一起在网络上公开的用户都可以使用。该漏洞与Exchange Admin Center ASP.NET应用程序中安装的加密密钥(“计算机密钥”)有关。
Exchange应该在安装时随机生成这些密钥,每个安装都是秘密的并且是唯一的。而是从安装介质中逐字复制它们,这样外部攻击者就可以通过参考产品的任何其他安装来了解这些密钥。攻击者可以利用密钥知识来伪造服务器上反序列化的消息,从而导致任意代码执行。Exchange Server中的漏洞非常重要,因为Exchange处于企业的神经中枢,使其成为攻击者异常有价值的目标。组织必须尽早打补丁,对漏洞进行修补。
Top2
CVE-2020-3992 / ZDI-20-1377:VMware ESXi SLP免费使用后远程执行代码漏洞。
ZDI漏洞研究员Lucas Leong发现此错误。ESXi是VMWare开发的企业级管理程序。ESXi中默认启用的协议之一是服务位置协议(SLP)。SLP是一种协议,使客户端可以发现网络服务。SLP最受欢迎的实现是OpenSLP。卢卡斯发现ESXi正在使用他们自己的自定义实现。此外,此自定义实现中存在一些缺陷,导致了两个严重的安全问题。这些安全问题之一导致SLPMessage对象在其中释放SLPDProcessMessage()。
尽管程序仍保留对SLPDatabase结构中已释放对象的引用。导致使用后使用(UAF)的情况,WAN环境中的远程攻击者可以利用这种情况。此漏洞最初报告为ZDI-CAN-11563。但是,VMWare生成的安全补丁无法完全解决该问题。导致了旁路,旁路被报告为VMWare,称为ZDI-CAN-12190。应该注意的是,除了可远程利用之外,这些SLP错误还可用于在受限环境中运行的进程进行沙箱转义。此漏洞是一个很好的例子,即使是经过大量研究的产品(例如ESXi),其攻击面也常常被忽略,并具有潜在的安全隐患。
Top3
CVE-2020-9850 / ZDI-20-672:操作员JIT类型混淆远程执行代码漏洞中的Apple Safari。
乔治亚州技术系统软件和安全实验室的团队在春季Pwn2Own比赛中提交此漏洞。此漏洞是一系列有趣的错误的一部分,链接从DFG层中的Webkit的类型混乱开始,类似于去年的随之而来的是Safari执行“ .app”符号链接的能力,而OpenGL的CVM(核心虚拟机)中的堆溢出错误则对此有所帮助。此外,由于竞争条件,cfprefsd和kextload中分别进行了首次应用程序保护绕过,root用户访问和特权升级。最终结果是成功的Pwn2Own演示,为团队赚了7万美元。这些研究人员对发现和利用六个漏洞的奉献精神令人难以置信。当毫无戒心的受害者访问一个简单的网页时,所有这些都会在幕后发生。想象一下浏览网络,然后10秒钟后,您的计算机上正在运行恶意代码。我要说的很整洁。
Top4
CVE-2020-7460 / ZDI-20-949:FreeBSD内核sendmsg系统调用检查时间使用时间特权升级漏洞。
一位名为m00nbsd的研究人员将此漏洞提交给ZDI程序。该错误使攻击者可以使用32位sendmsg()系统调用中存在的“检查时使用时间”(TOCTOU)漏洞,从无特权的用户开始在FreeBSD上实现内核级代码执行。该漏洞是系统调用中的两次提取错误。要触发溢出,用户区必须快速MsgLen,在第一次访问和第二次访问之间用较大的值替换其中一个值。攻击者可以通过产生一个调用线程来触发此操作sendmsg(),循环地给它正确的参数。然后,可以生成另一个线程,用一个巨大的值替换MsgLen中的一个,然后在循环中放回正确的值。等待两个线程竞争,溢出将被触发。令人惊讶的是,可以存活很多年。ZDI在2020年9月就已在博客中发布了有关此错误的博客,可以在此处阅读所有详细信息(包括PoC)。
Top5
CVE-2020-17057 / ZDI-20-1371:Microsoft Windows DirectComposition未初始化的指针特权升级漏洞。
一位匿名研究员将该错误提交给ZDI。是Windows DirectComposition内核模式图形组件的漏洞。该win32kbase!DirectComposition::CInteractionTrackerMarshaler::SetBufferProperty函数DirectComposition::CInteractionTrackerMarshaler
根据从用户模式传递的数据来填充类型的对象。如果此函数遇到无效数据,将跳转到错误路径,该路径将尝试释放该函数已经创建并存储在对象中的资源。由于此错误路径中的错误,该函数可能会受到影响而释放从未初始化的指针。这使攻击者可以在内核模式下控制指令指针,可以利用它来获得SYSTEM特权。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
