微软披露华为笔记本程序的驱动提权漏洞

微软披露了华为笔记本电脑 MateBook 自带 PCManager 程序的驱动提权漏洞。华为已经在今年 1 月释出了补丁,如果你的华为笔记本电脑运行了最新版本,那么漏洞已经修复了。

Windows version 1809 内置了新的监视功能去跟踪 DOUBLEPULSAR 类型的后门,DOUBLEPULSAR 是 NSA 以及恶意程序广泛使用的技术之一。微软监视到指示 DOUBLEPULSAR 后门的异步过程调用,但进一步的调查没有发现恶意程序,而是华为写的驱动。

华为的驱动监视了 PCManager 的一个用户模式服务,如果该服务崩溃或停止运行,驱动将会重启它。为了执行重启,驱动向一个高权 Windows 进程注入代码,然后使用异步过程调用运行代码——这是恶意程序常用的技术。不清楚为什么华为要采用这种方法重启服务,因为 Windows 已经内置了重启崩溃服务的功能。除此之外,微软研究员还观察到驱动存在其它漏洞。

打赏 赞(0)
微信二维码图片

微信扫描二维码打赏

发表评论