漏洞的原理和危害:
安全公司已将该漏洞命名为Windows RID劫持,通过篡改账户相对标识符进而影响到账号主体的安全标识符。
研究人员发布的验证工具主要是利用来宾账户或普通账号,通过Windows RID方式将其权限提升到管理员级。
尤其对于企业来说绝大多数内网机器都是普通账号权限,若攻击者利用Windows RID则可提权完成更多攻击。
由于劫持Windows RID并未调用外部恶意程序所以不会引发系统拦截或安全软件拦截因此用户很难发现攻击。
无法通过远程方式触发或利用:
所幸劫持Windows RID无法通过远程方式完成,也就是攻击者必须接触设备或者提前安插好相应的流氓软件。
通过流氓软件再劫持Windows RID即可将普通权限提权,提权后再利用管理员权限安插其他病毒或后门程序。
该安全公司也透露目前并未检测到有野外利用Windows RID的行为,同时其他安全公司也没有发布类似报告。
微软为什么又不修复漏洞:
哥伦比亚安全公司称早在去年年底发现Windows RID的劫持攻击后,就已经将漏洞提交给微软公司等待修复。
遗憾的是还有两个月该漏洞报告就要满一年了,但是至今微软仍然没有发布任何更新修复Windows RID问题。
由于Windows XP和Windows Server 2003已经停止支持,微软不再向其提供安全更新进行修复也尚可理解。
但Windows 8.1版和Windows 10 都是目前还在支持的系统,微软在将近一年的时间里还不修复就说不过去。
这不禁让人想起本月微软发布累积更新缓解趋势科技发现的漏洞, 当时漏洞已经被公开后微软也才着手修补。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/122113.html