研究人員發現Windows核心的零時差漏洞

英國資安業者Prevx上周指出，中國論壇已公開揭露一微軟Windows的嚴重安全漏洞，該漏洞藏匿於Windows子系統核心win32k.sys中，屬於權限擴張漏洞，允許有限權限的使用者帳號可在核心模式中執行任意程式。

Prevx說明，win32k.sys的NtGdiEnableEUDC API未能正確地驗證某些輸入，因而導致堆積溢位並覆蓋儲存於堆積中的返回位址，駭客得以將所覆蓋的返回位址導至惡意程式並透過核心模式權限執行。作為一個權限擴張漏洞，它還繞過了微軟為Windows Vista與Windows 7所設計的使用者權限控制（User Account Control）及有限權限的使用者帳號（Limited User Account）設計。

受影響的視窗作業系統包括32及64位元的Windows XP、Windows Vista與Windows 7。

Prevx研究人員Marco Giulian表示，該漏洞嚴重之處在於所有的軟體，即使是自有限權限帳號所執行的軟體都能取得系統權限，他們看到很多偷渡式（drive-by）攻擊，可透過應用程式的漏洞在受影響的機器上安置惡意程式，即使多數的視窗用戶都採用有限的帳號或是具使用者帳號控制功能的管理員帳號，但此一零時差漏洞允許已被植入的惡意程式繞過這些限制並取得系統的完整控制權。

不過，這並不是一個遠端攻擊漏洞，而是一個區域端的權限擴大漏洞，這代表駭客必須先透過其他方式在使用者電腦上植入惡意程式後才能針對此一漏洞發動攻擊。

Giulian揭露該漏洞的時候尚未發現攻擊程式，但預期該漏洞很可能成為惡夢，短期內就會看到相關的惡意程式，另一資安業者Sophos隔天就發現了鎖定該漏洞的概念性驗證程式。

PCWorld引述微軟的回應指出，微軟已得知有一視窗核心的權限擴張漏洞被公諸於世，將會繼續調查此事，一旦完成調查就會採取妥善的行動。

Prevx與Sophos都針對該漏洞提出暫時解決方案，Prevx表示其免費版本的防毒軟體即可防治漏洞，而Sophos則列出杜絕相關攻擊的設定步驟。