Microsoft har lige opdaget en besværlig Huawei PC produkt, der kunne have givet angribere med en nem måde at temperere med Windows-kernen.
Ifølge Huawei rådgivende, "der er en sårbarhed over eskalering af privilegier i Huawei PCManager -produkt". En angriber kan narre en bruger til at installere og køre et ondsindet program for at udnytte fejlen og få højere privilegier.
Men, det er ikke den eneste sårbarhed, der blev behandlet. Der er også en sårbarhed ved kodeudførelse i Huawei PCManager -produkt, som kunne have været misbrugt af angribere til at udføre ondsindet kode og læse/skrive hukommelse.
Hvordan opdagede Microsoft sårbarhederne i Huawei?
Starter i Windows 10, udgave 1809, Windows 'kerne har nye sensorer (Microsoft Defender Advanced Threat Protection’s kernelsensorer) designet til at spore bruger APC -kodeinjektion initieret af en kernekode, som er beregnet til at opdage kernetrusler som f.eks DOUBLEPULSAR -udnyttelsen. DOUBLEPULSAR er en kerne bagdør, der bruges af WannaCry ransomware til at injicere den største nyttelast i brugerrummet.
Så, Microsoft Defender Research Team opdaget en chauffør mens han undersøgte en advarsel fra disse sensorer. Teamet spores den uregelmæssige adfærd til en enhedsstyringsdriver udviklet af Huawei. Senere, de fandt et bortfald i designet, der førte til en sårbarhed, der kunne tillade lokal privilegium -eskalering.
Microsoft rapporterede straks sårbarheden identificeret som CVE-2019-5241 til Huawei, der reagerede hurtigt og i januar 9, 2019, en rettelse blev frigivet.
Hvad angår den anden sårbarhed, CVE-2019-5242, forskerne fra Microsoft opdagede også, at "driveren gav mulighed for at kortlægge enhver fysisk side til bruger-tilstand med RW-tilladelser":
Ved at påberåbe denne handler kunne en kode, der kører med lave rettigheder, læse-skrive ud over procesgrænserne-til andre processer eller endda til kernerum. Dette, selvfølgelig, betyder et komplet maskinkompromis.
De to sårbarheder opdaget i en driver skildrer vigtigheden af at designe software og produkter med sikkerhed i tankerne, Microsoft konkluderede.