Windows本地提權(quán)漏洞
  • CNNVD編號:未知
  • 危害等級: 高危 
  • CVE編號:CVE-2020-17008
  • 漏洞類型: 本地提權(quán)漏洞
  • 威脅類型:本地
  • 廠       商:未知
  • 漏洞來源:深信服
  • 發(fā)布時間:2020-12-28
  • 更新時間:2021-01-13

漏洞簡介

1、相關(guān)組件介紹

Splwow64.exe是一個Windows的核心系統(tǒng)文件,通常在后臺運行,并且不可見。它是32位應(yīng)用程序的打印機驅(qū)動程序。換句話說,splwow64.exe允許32位應(yīng)用程序與x64 Windows構(gòu)建上的64位打印機后臺處理程序服務(wù)連接。

2、漏洞描述
該漏洞存在于windows的splwow64組件,當32位進程嘗試在64位系統(tǒng)中連接至打印機服務(wù)時,windows會啟動splwow64進程來處理他們之間的交互過程,攻擊者通過發(fā)送LPC消息與splwow64進行交互,當splwow64在處理編號為0x6d(INDEX_DocumentEvent)的消息時,會錯誤的將攻擊者可控的值當成一個有效的指針來處理,進而導(dǎo)致任意地址讀寫的錯誤,通過利用該錯誤,攻擊者可以實現(xiàn)特權(quán)提升,然后可以讀取用戶的敏感數(shù)據(jù),安裝后門。

3、漏洞分析

該漏洞存在于函數(shù)gdi32full.dll!GdiPrinterThunk , 當splwow64接受到用戶發(fā)送的LPC消息時,會調(diào)用該函數(shù)對LPC消息進行解析并進一步處理,當接受到編號為0x6D的消息時,其處理邏輯如下:


在處理該消息時,它會從攻擊者傳入的LPC消息中取出多個攻擊者完全可控的值作為memcpy的參數(shù),從而導(dǎo)致任意地址讀寫的錯誤。


根據(jù)Google披露的POC可以看出攻擊者可以向任意地址寫入任意內(nèi)容,從而實現(xiàn)代碼執(zhí)行。

漏洞公示

暫無

受影響實體

目前受影響的Nexus版本:

Win8.1 到 win10 2004的所有版本

補丁

目前微軟沒有發(fā)布針對該漏洞的補丁。

建議用戶謹防來歷不明的文件和鏈接,不要輕易點擊運行 . 不要使用舊版IE瀏覽器,它被該漏洞攻擊的風險更大,建議改為使用Chrome,firefox等瀏覽器。