Google Project Zero揭露一个从Windows XP时代就存在的CTF协定漏洞,可使电脑被攻击者接管。微软已在周二发布修补程序。
这项编 CVE-2019-1162的漏洞,主要是出于Windows进阶本机程序呼叫(Advanced Local Procedure Call,ALPC)处理不当,是由Google Project Zero知名研究人员Tavis Ormandy发现。它存在于Windows名为CTextFramework(CTF)的元件中。CTF是Windows Text Service Framework(TSF)的一部份,后者主管Windows输入方法,如键盘配置、文字输入等等。当用户想切换不同键盘配置,如从英文切换成拼音或手写输入时,就会动用到CTF。安装中文(繁、简)、日、韩语言输入法的Windows电脑用户都有此环境。
CTF出现时间也很早,最少存在于2001年的Office XP,到Windows XP就被加入到OS中。
但其运作十分复杂。Ormandy解释,当Windows上一项应用程序开启时,就会同时启动对应的CTF用户端软件,后者从Windows的CTF服务接收关于键盘配置或输入法的指令。两者间的连线并没有任何验证或控管机制,任何app及任何人甚至沙箱中的行程(process),都可以连到任意CTF用户端。因为没有验证,攻击者可以传送假造的执行绪ID、行程ID或视窗控制代码(HWND)。再者,攻击者还能假冒是Windows CTF服务,连上任何应用程序,借此劫持CTF连线,之后即可窃取app资料、冒充app下达指令、或执行权限升级。若后者属于高权限app,则黑客甚至还可以接管整台Windows电脑。
Ormandy已成功打造出概念验证攻击工具,利用Windows记事本传输指令,进而成功劫持了Windows登入视窗CTF连线,还将攻击工具公布在 络上。他指出,CTF协定的记忆体毁损漏洞,可在预设设定下开采,不论地区或语言,甚至不需行程外(out of process)文字输入处理(Text Input Processors)漏洞,也能发动攻击。
本漏洞影响Windows 7、8.1、Windows 10、Windows RT 8.1、Server 2008、2012、2016及Server 2019,CVSS Base Score为7.8分(满分10)。
微软在接获Ormandy的通 ,已经在周二的Patch Tuesday 发布修补好的Windows更新。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!