Google：微軟LSASS漏洞修補不全

微軟本周二在Patch Tuesday修補了近120項漏洞，但Google Project Zero研究人員昨（13）日指出，至少Project Zero發現的一項Windows認證漏洞並未修補完全。

Project Zero研究員James Forshaw是在5月間揭露並向微軟通報編號CVE-2020-1509的漏洞。這項漏洞是發生在Windows本地安全認證子系統服務（Local Security Authority Subsystem Service，LSASS）的權限升級漏洞。LSASS是用戶登入Windows電腦或伺服器時，驗證用戶身份的程式。

根據微軟的安全公告，在有CVE-2020-1509漏洞的系統中，攻擊者可傳送惡意驗證呼叫來開採這項漏洞，一旦成功，攻擊者則可在目標系統上升級到管理員權限以執行指令，在CVSS 3.0風險評分表名列8.8，屬於「重要」漏洞。

這項漏洞影響所有Windows 10版本，包括最新版的2004版。

微軟於周二的Patch Tuesday 已經釋出修補程式。但Forshaw隨後指出修補不完全，只要系統有代理伺服器，就可以繞過修補過的版本。

Forshaw發現，LSASS在執行企業驗證（Enterprise Authentication capability）上出現漏洞，導致任何包裹在AppContainer沙箱的UWB程式，都可以用戶密碼執行網路驗證。在LSASS驗證過程中，他發現，若用戶端驗證的目標機器是代理伺服器，則驗證就可以被允許，且呼叫的網址不一定要是註冊（許可）的代理伺服器。

這表示攻擊者可以經由AppContainer沙箱，以特定具備網路存取功能的App來驗證進入任何想要的網路資源，繞過一些SPN checking和SMB簽章等防護。攻擊者也可以存取本地主機服務。他也公布了概念驗證攻擊程式，顯示應用程式繞過EA來升高權限，而得以連接SMB伺服器並列出網路磁碟機清單，這些都是超過AppContainer權限的行為。

ZDNet報導Project Zero之所以公布CVE-2020-1509細節，是因為通報已經過90天，因此按照Google政策，無論是否修補完成，研究人員都會公布漏洞細節。Google也拒絕再延長緘默期。