Win10系统设备向华为PC驱动程序开放“完全妥协”

作为保护win10免受下一代WannaCry攻击的努力的一部分，微软的安全研究人员发现了一个有缺陷的华为实用工具，可能会给攻击者提供一种廉价的破坏windows内核安全性的方法。

微软现在详细介绍了它如何在其windows 10笔记本电脑的MateBook系列华为PCManager驱动软件中发现严重的本地特权升级缺陷。由于微软的工作，这家中国科技巨头在1月修补了这一漏洞。

正如微软研究人员所解释的那样，第三方内核驱动程序对攻击者来说变得越来越有吸引力，因为它是攻击内核的一个侧门，而不必使用windows中昂贵的零日内核攻击来克服其保护。

华为软件的缺陷被新的内核传感器检测到，这些传感器是在win10 10月2018更新（即1809版）中实现的。

这些传感器是微软对2017年WannaCry恶意软件爆发事件的回应的一部分，该事件对英国的国家健康服务造成了严重破坏，并感染了全球约20万台windows PC。该恶意软件归咎于朝鲜黑客。

具体而言，这些传感器的设计目的是捕获像DoublePulsar这样的恶意软件，这是一种由美国国家安全局黑客创建的后门植入物，于2017年初由The Shadow Brokers泄露.DoublePulsar以内核模式运行，是提供WannaCry的工具，从中复制恶意软件内核到用户空间。

内核传感器旨在解决检测内核中运行的恶意代码的难度，旨在检测来自内核的用户空间异步过程调用（APC）代码注入。

Microsoft Defender ATP反恶意软件使用这些传感器来检测由可能将代码注入用户模式的内核代码引起的操作。

华为PCManager在多台win10设备上触发了Defender ATP警报，促使微软展开调查。

狩猎让我们看到触发警报的内核代码。人们可以预期，设备管理软件将主要执行与硬件相关的任务，所提供的设备驱动程序是与OEM专用硬件的通信层，Amit Rapaport解释说，微软后卫ATP团队的研究员。

那么为什么这个驱动程序表现出异常行为？为了回答这个问题，我们对HwOs2Ec10x64.sys进行了逆向工程。

调查导致研究人员使用可执行文件MateBookService.exe。由于华为针对HwOs2Ec10x64.sys的监视机制存在缺陷，攻击者可以创建MateBookService.exe的恶意实例以获得提升的权限。

该缺陷可用于使代码以低权限运行，读取和写入其他进程或内核空间，从而导致完全机器损害。微软使用'process hollowing'这一恶意软件作者使用的流行技巧来证明这一缺陷。

攻击者控制的MateBookService.exe实例仍然可以被授予对设备。 HwOs2EcX64的访问权限，并能够调用其部分IRP功能。然后，攻击者控制的进程可能会滥用此功能与设备通信注册一个自己选择的可执行文件，Rapaport解释说。

鉴于父进程对其子进程拥有完全权限，即使具有低权限的代码也可能产生受感染的MateBookService.exe并将代码注入其中。

根据华为的建议，攻击者可以通过诱骗用户运行恶意应用来利用这一漏洞。该漏洞的严重程度评分为7.3分，可能为10分。

成功利用可能会导致攻击者执行恶意代码和读/写内存，华为指出。