微软披露华为笔记本程序的驱动提权漏洞

微软披露了华为笔记本电脑 MateBook 自带 PCManager 程序的驱动提权漏洞。华为已经在今年 1 月释出了补丁，如果你的华为笔记本电脑运行了最新版本，那么漏洞已经修复了。

Windows version 1809 内置了新的监视功能去跟踪 DOUBLEPULSAR 类型的后门，DOUBLEPULSAR 是 NSA 以及恶意程序广泛使用的技术之一。微软监视到指示 DOUBLEPULSAR 后门的异步过程调用，但进一步的调查没有发现恶意程序，而是华为写的驱动。

华为的驱动监视了 PCManager 的一个用户模式服务，如果该服务崩溃或停止运行，驱动将会重启它。为了执行重启，驱动向一个高权 Windows 进程注入代码，然后使用异步过程调用运行代码——这是恶意程序常用的技术。不清楚为什么华为要采用这种方法重启服务，因为 Windows 已经内置了重启崩溃服务的功能。除此之外，微软研究员还观察到驱动存在其它漏洞。