漏洞报告

受影响的平台:Windows 10和Windows Server 2019

受影响的版本:Windows 10版本1809 +和Windows Server版本1903 +

影响:特权升级和违反用户隐私设置

严重性级别:重要

今年1月,FortiGuard实验室报告了与Microsoft Windows 10平台中的用户隐私相关的特权升级漏洞(代号CVE-2020-1296)。6月9日,Microsoft发布了安全更新,此漏洞才得以修复。此漏洞的根本原因是缺乏隐私设置隔离以及Windows 10平台上所有用户在内存中对Windows诊断数据反馈的不正确处理。由于此漏洞严重影响用户隐私,建议尽快更新Microsoft升级补丁。

CVE-2020-1296的漏洞方案和相关详细信息

系统设置诊断数据级别从“基本”到“完全”特权升级的漏洞情形

重现步骤:

1.在初始安装过程中,管理员用户选择“完全”设置,然后还将另一个标准用户添加到设备。

2.标准用户登录系统,并保持“诊断数据”设置窗口打开。

3.然后,管理员用户将诊断数据设置更改为“基本”级别。

4.然后,标准用户将诊断数据设置更改为“完全”级别。

5.然后,标准用户对“完全”级别的更改也会反映给管理员用户。

说明:

这里管理员用户将“完全”更改为“基本”隐私没有反映给标准用户,从而允许标准用户对所有用户的诊断数据隐私设置进行未经授权的更改用户(包括管理员)。

影响:

标准用户对设备上所有用户(包括管理员)进行的诊断数据隐私设置的未经授权的更改,降低了系统上所有用户的隐私。

从“完全”升级为“基本”特权漏洞情形

重现步骤:

1.在初始安装期间,管理员用户选择“完全”设置,然后将另一个标准用户添加到设备。

2.标准用户登录系统,并将“诊断数据”设置更改为“基本”。

3.标准用户对“基本”的更改也反映给管理员用户。

说明:

这是由于设备上所有用户之间缺乏隐私设置隔离。这允许任何用户更改所有用户(包括管理员)的隐私设置。

影响:

尽管此未经授权的更改确实增强了设备上所有用户的隐私,但这样做是有代价的。将诊断数据设置设置为“基本”会降低Microsoft安全产品(如Microsoft Edge和Windows Defender SmartScreen)的功能。Microsoft的“完整”设置允许获取有关潜在滥用或恶意域的假名浏览历史记录数据,以对Microsoft Edge和Windows Defender SmartScreen进行更新,以警告用户有关此类有害网站的信息。

也可以将其归类为“安全绕过”漏洞,因为它拒绝向Windows Insider用户提供新的安全/功能更新。Windows Insider Channel用户必须将“诊断数据”设置设置为“完全”才能接收任何新的安全/功能更新,对此设置的任何未经授权的更改都将拒绝该系统上的其他Insider Channel更新。

CVE-2020-1296的总体影响

此问题的总体影响是,它会影响系统上所有用户的“隐私设置”。由于特权升级漏洞而导致未经授权的隐私设置更改可能给用户带来错误的安全感,并且还可能拒绝设备的新安全性或功能更新。“从基本到完全”特权升级漏洞将有效降低系统上所有用户的隐私,而“从完全到基本”特权升级漏洞可能会拒绝某些Microsoft产品(例如Windows Defender SmartScreen)提供的主动保护 ,并且还会拒绝Windows Insider用户的任何其他功能/安全更新。

修复与建议

用户应立即更新其系统并应用Microsoft的安全补丁。

关键词: Window10漏洞