• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 操作系統(tǒng)
  • -
    • Windows本地提權漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2020-17008
    • 漏洞類型: 本地提權漏洞
    • 威脅類型:本地
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2020-12-28
    • 更新時間:2021-01-13

    漏洞簡介

    1、相關組件介紹

    Splwow64.exe是一個Windows的核心系統(tǒng)文件,通常在后臺運行,并且不可見。它是32位應用程序的打印機驅動程序。換句話說,splwow64.exe允許32位應用程序與x64 Windows構建上的64位打印機后臺處理程序服務連接。

    2、漏洞描述
    該漏洞存在于windows的splwow64組件,當32位進程嘗試在64位系統(tǒng)中連接至打印機服務時,windows會啟動splwow64進程來處理他們之間的交互過程,攻擊者通過發(fā)送LPC消息與splwow64進行交互,當splwow64在處理編號為0x6d(INDEX_DocumentEvent)的消息時,會錯誤的將攻擊者可控的值當成一個有效的指針來處理,進而導致任意地址讀寫的錯誤,通過利用該錯誤,攻擊者可以實現(xiàn)特權提升,然后可以讀取用戶的敏感數(shù)據(jù),安裝后門。

    3、漏洞分析

    該漏洞存在于函數(shù)gdi32full.dll!GdiPrinterThunk , 當splwow64接受到用戶發(fā)送的LPC消息時,會調用該函數(shù)對LPC消息進行解析并進一步處理,當接受到編號為0x6D的消息時,其處理邏輯如下:


    在處理該消息時,它會從攻擊者傳入的LPC消息中取出多個攻擊者完全可控的值作為memcpy的參數(shù),從而導致任意地址讀寫的錯誤。


    根據(jù)Google披露的POC可以看出攻擊者可以向任意地址寫入任意內容,從而實現(xiàn)代碼執(zhí)行。

    漏洞公示

    暫無

    受影響實體

    目前受影響的Nexus版本:

    Win8.1 到 win10 2004的所有版本

    補丁

    目前微軟沒有發(fā)布針對該漏洞的補丁。

    建議用戶謹防來歷不明的文件和鏈接,不要輕易點擊運行 . 不要使用舊版IE瀏覽器,它被該漏洞攻擊的風險更大,建議改為使用Chrome,firefox等瀏覽器。