由於微軟並沒有在限定的 90 天時間內修復漏洞,Google 的 Project Zero 團隊近日披露了存在於 Windows 系統中的權限提升(EoP)漏洞。這個漏洞是因為 Windows 過濾平台(WFP)的默認規則允許可執行文件連接到 AppContainers 中的 TCP 套接字,這導致了 EoP。基本上,WFP中定義的一些規則可以被惡意行為者匹配,以連接到 AppContainer 並注入惡意代碼。
Project Zero 團隊運行機制是這樣的:發現漏洞后報告給廠商,並給予 90 天的時間進行修復。如果廠商沒有在限期內進行修復,那麼團隊就會公開披露。自然,根據所需修復的複雜性,團隊有時還會以寬限期的形式提供額外的時間。
報告該漏洞的安全研究員James Forshaw接著說。
這當然是一個普遍的問題,如果任何應用程序添加了許可規則,可以通過 AppContainer 到達,那麼這些規則可以在阻止規則之前被匹配。當然,這無疑是設計上的問題,但這裡的問題是這些規則在我測試過的所有系統中都是默認存在的,因此任何系統都會有漏洞。請注意,這並不允許訪問 localhost,因為這在 ACCEPT/RECV 層是失敗的,它提前阻止了 AppContainer 的 localhost 連接。
從修復的角度看,也許這些默認規則不應該與AC進程相匹配(所以要添加FWPM_CONDITION_ALE_PACKAGE_ID的檢查),或者它們應該在AC阻止規則之後排序。也可能是它們太靈活了,即使限制在一個特定的端口,至少也能減少攻擊面。我不確定是否有解決這個問題的一般方法,但由於AC進程不能列舉當前的規則(AFAIK),那麼AC進程將永遠不知道是否有非默認的規則被添加,他們可以濫用。