您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
ZDI總結(jié)全年最重要的五個(gè)漏洞
寫在前面的話
在這一年即將結(jié)束之際,我們?cè)诖嘶仡櫼幌挛覀冊(cè)?020年收到的一些最有意思的漏洞報(bào)告。毫無(wú)疑問,將今年已報(bào)告的1400多個(gè)漏洞縮減為只有5個(gè),這絕對(duì)是一個(gè)相當(dāng)大的挑戰(zhàn)。在這篇文章中,我們所分析的這5個(gè)安全漏洞是從這1400多個(gè)漏洞中脫穎而出的,接下來,我們一起看看到底是哪五個(gè)漏洞殺出了重圍。
CVE-2020-0688/ZDI-20-258
CVE-2020-0688/ZDI-20-258:Microsoft Exchange Server的Exchange控制面板加密密鑰遠(yuǎn)程代碼執(zhí)行漏洞
這個(gè)漏洞是Microsoft Exchange Server的Exchange控制面板中存在的一個(gè)加密密鑰遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞是由一位匿名安全研究專家上報(bào)的,Microsoft Exchange Server中的這個(gè)高度嚴(yán)重的漏洞將允許任何經(jīng)過身份驗(yàn)證的Exchange用戶獲得服務(wù)器上的SYSTEM權(quán)限。該漏洞位于Exchange管理中心Web界面中,即雖然這個(gè)Web界面被稱為“管理”界面,但在默認(rèn)情況下,任何擁有Exchange服務(wù)器上郵箱憑據(jù)的或者可以在網(wǎng)絡(luò)上公開訪問Outlook Web Access的用戶都可以使用該界面。漏洞與Exchange管理中心(ASP.NET應(yīng)用程序)中安裝的加密密鑰(“計(jì)算機(jī)密鑰”)有關(guān),xchange應(yīng)該在安裝時(shí)隨機(jī)生成這些密鑰,以便實(shí)現(xiàn)保持對(duì)每個(gè)安裝的機(jī)密性和唯一性。但是現(xiàn)在,它們卻是從安裝介質(zhì)中逐字復(fù)制的,因此外部攻擊者可以通過引用產(chǎn)品的任何其他安裝源來獲取到這些密鑰。攻擊者可以利用獲取到的密鑰信息偽造出將在服務(wù)器上反序列化的消息,從而實(shí)現(xiàn)任意代碼的執(zhí)行。Exchange服務(wù)器中的這個(gè)漏洞非常嚴(yán)重,因?yàn)镋xchange一般都扮演著企業(yè)神經(jīng)中樞的角色,這使得該漏洞成為了網(wǎng)絡(luò)犯罪分子眼中一個(gè)非常有價(jià)值的目標(biāo)。如果您的組織目前還沒有修復(fù)該漏洞的話,我們建議大家盡快修復(fù)。
參考資料:
https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys
CVE-2020-3992/ZDI-20-1377
CVE-2020-3992/ZDI-20-1377:
VMware ESXi SLP用后釋放遠(yuǎn)程代碼執(zhí)行漏洞
這個(gè)漏洞是由ZDI漏洞研究人員Lucas Leong發(fā)現(xiàn)的,ESXi是由VMWare開發(fā)的企業(yè)級(jí)管理程序,ESXi中默認(rèn)啟用的協(xié)議之一是服務(wù)位置協(xié)議(SLP)。SLP是一種使客戶端能夠發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)的協(xié)議,目前最流行的SLP實(shí)現(xiàn)就是OpenSLP了。然而,Lucas發(fā)現(xiàn)ESXi使用的是他們自己的定制實(shí)現(xiàn)方式。重要的是,這個(gè)自定義實(shí)現(xiàn)中存在設(shè)計(jì)缺陷,從而導(dǎo)致了兩個(gè)嚴(yán)重的安全問題出現(xiàn)。其中一個(gè)安全問題將導(dǎo)致程序在SLPDProcessMessage()中釋放SLPMessage對(duì)象,但是該程序仍會(huì)在SLPDatabase結(jié)構(gòu)中保留對(duì)已釋放對(duì)象的引用。這也就導(dǎo)致了用后釋放(UAF)的情況出現(xiàn),而遠(yuǎn)程攻擊者將能夠通過網(wǎng)絡(luò)來觸發(fā)并利用該漏洞。這個(gè)漏洞最初被標(biāo)記為了ZDI-CAN-11563。但是,VMWare所提供的安全補(bǔ)丁并沒有完全解決這個(gè)問題,這便導(dǎo)致了ZDI-CAN-12190的出現(xiàn)。應(yīng)該注意的是,除了可以遠(yuǎn)程利用之外,這些SLP問題還可以被攻擊者利用來幫助在受限環(huán)境中運(yùn)行的程序?qū)崿F(xiàn)沙箱逃逸。這也足以證明,即使是經(jīng)過大量研究的產(chǎn)品,比如說ESXi,也有可能存在嚴(yán)重的攻擊面,這些攻擊面往往容易被忽視,因此存在較嚴(yán)重的安全風(fēng)險(xiǎn)。
CVE-2020-9850/ZDI-20-672
CVE-2020-9850/ZDI-20-672:Apple Safari JIT模式下的類型混淆遠(yuǎn)程代碼執(zhí)行漏洞
這個(gè)漏洞是由喬治亞理工系統(tǒng)軟件與安全實(shí)驗(yàn)室的團(tuán)隊(duì)在春季Pwn2Own競(jìng)賽中報(bào)告的,該漏洞同時(shí)也是一條有趣漏洞利用鏈(與Webkit的類型混淆問題有關(guān))的一部分。由于這個(gè)漏洞,Safari將具備執(zhí)行“.app”符號(hào)鏈接的能力,這是由OpenGL的CVM(核心虛擬機(jī))中的堆溢出漏洞所導(dǎo)致的。此外,由于競(jìng)爭(zhēng)條件的存在,將有可能在cfprefsd和kextload中實(shí)現(xiàn)root訪問或權(quán)限提升。研究人員在Pwn2Own上成功演示了該漏洞,并贏得了七萬(wàn)美金的漏洞獎(jiǎng)勵(lì)。這個(gè)漏洞的利用場(chǎng)景比較可怕,因?yàn)楫?dāng)一個(gè)毫無(wú)防備的受害者在訪問一個(gè)簡(jiǎn)單的網(wǎng)頁(yè)時(shí),這一切他都是毫不知情,因?yàn)闉g覽網(wǎng)頁(yè)10秒后,惡意代碼將會(huì)在目標(biāo)用戶的設(shè)備上運(yùn)行,一切都是在后臺(tái)悄悄完成的。
CVE-2020-7460/ZDI-20-949
CVE-2020-7460/ZDI-20-949:FreeBSD內(nèi)核sendmsg系統(tǒng)調(diào)用TOCTU權(quán)限提升漏洞
這個(gè)漏洞是由一個(gè)名叫m00nbsd的研究人員報(bào)告給ZDI的。該漏洞允許攻擊者利用32位sendmsg()系統(tǒng)調(diào)用中存在的TOCTU漏洞,以初始為非特權(quán)的用戶身份在FreeBSD上執(zhí)行內(nèi)核級(jí)代碼。該漏洞是系統(tǒng)調(diào)用中的一個(gè)雙重獲取漏洞,為了觸發(fā)溢出,用戶必須必須在第一次訪問和第二次訪問之間用更大的值替換其中一個(gè)MsgLen值。攻擊者可以通過在循環(huán)中生成一個(gè)調(diào)用sendmsg()的線程來觸發(fā)該漏洞,并為其提供正確的參數(shù)。然后,它們可以生成另一個(gè)線程,用一個(gè)巨大的值替換其中一個(gè)MsgLen,然后將正確的值放回一個(gè)循環(huán)中。接下來,等待兩個(gè)線程爭(zhēng)用這個(gè)資源,便會(huì)觸發(fā)溢出。令人驚訝的是,這個(gè)漏洞隱藏得并不深,但這么多年來卻沒人發(fā)現(xiàn)它。
CVE-2020-17057/ZDI-20-1371
CVE-2020-17057/ZDI-20-1371:Microsoft Windows DirectComposition未初始化的指針權(quán)限提升漏洞
一位匿名研究員向ZDI報(bào)告了這個(gè)漏洞。這個(gè)漏洞存在于Windows DirectComposition內(nèi)核模式圖形組件之中,win32kbase!DirectComposition::CInteractionTrackerMarshaler::SetBufferProperty函數(shù)基于從用戶模式傳遞的數(shù)據(jù)填充DirectComposition::CInteractionTrackerMarshaler類型的對(duì)象。如果此函數(shù)遇到無(wú)效數(shù)據(jù),它將切換到一條錯(cuò)誤路徑,該路徑將嘗試釋放函數(shù)已創(chuàng)建并存儲(chǔ)在對(duì)象中的資源。由于此錯(cuò)誤路徑中存在安全問題,可能會(huì)影響函數(shù)釋放從未初始化的指針。這使攻擊者能夠在內(nèi)核模式下控制指令指針,從而獲得SYSTEM權(quán)限。
總結(jié)
我們回顧了今年提交給ZDI項(xiàng)目的一些最佳漏洞,多年來,許多事情都發(fā)生了變化,但我們與來自全球各地的獨(dú)立安全研究人員合作的愿望從未動(dòng)搖過。如果您已經(jīng)參與到了我們的計(jì)劃之中,我們感謝您的辛勤工作和參與。如果您還沒有提交計(jì)劃,我們希望您將來考慮提交。
來源:FreeBuf