在Windows中，有一個(gè)未修補(bǔ)的安全漏洞,，該漏洞可能會(huì)允許普通用戶將本地權(quán)限提升到系統(tǒng)權(quán)限，但此時(shí)微軟并未將該漏洞完全解決,，這時(shí)一個(gè)非官方的微補(bǔ)丁出現(xiàn)了。

　　該漏洞（CVE-2021-34484）最初是在微軟8月份的更新披露中發(fā)布的,。當(dāng)時(shí),，它被研究人員歸類(lèi)為一個(gè)任意目錄刪除漏洞，該漏洞由于是低優(yōu)先級(jí)的，因?yàn)楣粽咝枰诒镜氐卿浀侥繕?biāo)計(jì)算機(jī)后才可以利用它,，從理論上講,，這將允許攻擊者刪除文件和文件夾。

　　然而,，發(fā)現(xiàn)該問(wèn)題的安全研究員很快又發(fā)現(xiàn),，它也可以被用于權(quán)限升級(jí)攻擊，這是兩個(gè)完全不同的漏洞,。系統(tǒng)級(jí)用戶可以訪問(wèn)網(wǎng)絡(luò)中其他部分的資源,、數(shù)據(jù)庫(kù)和服務(wù)器。

　　研究人員還看了看微軟的原始補(bǔ)丁,，隨后通過(guò)對(duì)他的漏洞利用代碼進(jìn)行簡(jiǎn)單調(diào)整,，找到了一個(gè)繞過(guò)補(bǔ)丁的方法，基本上可以將該漏洞恢復(fù)到零日狀態(tài),。

　　0Patch的研究人員在周四的文章中解釋說(shuō),，該漏洞主要存在于用戶的配置文件服務(wù)中，特別是在用戶的原始配置文件因某種原因被損壞或鎖定時(shí),，很容易被攻擊者攻擊,。將文件夾和文件從用戶的原始配置文件復(fù)制到臨時(shí)文件夾的過(guò)程（作為本地系統(tǒng)執(zhí)行），可以通過(guò)符號(hào)鏈接進(jìn)行攻擊,。在系統(tǒng)位置創(chuàng)建攻擊者有寫(xiě)入權(quán)限的文件夾,，隨后啟動(dòng)的系統(tǒng)進(jìn)程將會(huì)從該文件夾加載并執(zhí)行攻擊者的DLL。

　　該漏洞是可以被直接攻擊的,。攻擊者將創(chuàng)建一個(gè)特制的符號(hào)鏈接（本質(zhì)上是一個(gè)指向特定文件或文件夾的快捷鏈接）,，然后將其保存在臨時(shí)用戶配置文件的文件夾（C:\Users\TEMP）中。

　　然后,，當(dāng)用戶配置文件服務(wù)從用戶的原始配置文件夾中復(fù)制一個(gè)文件夾時(shí),，符號(hào)鏈接將迫使它在攻擊者沒(méi)有權(quán)限創(chuàng)建文件夾的地方創(chuàng)建一個(gè)包含惡意DLL有效載荷的文件夾。

　　即使微軟認(rèn)為這個(gè)漏洞只是允許刪除一個(gè)文件名中含有‘符號(hào)鏈接’的文件夾,，但還是做了一個(gè)概念上的修復(fù),，它檢查了C:\Users\TEMP下的目標(biāo)文件夾是否是一個(gè)符號(hào)鏈接，如果是,，就中止操作,。正如研究人員所注意到的，這個(gè)修復(fù)措施的不合理性在于,，符號(hào)鏈接不需要在最上層的文件夾中（微軟的修復(fù)檢查），而是可以在目標(biāo)路徑上的任何文件夾中,。

　　微軟發(fā)布的補(bǔ)丁通過(guò)調(diào)用 “GetFinalPathNameByHandle ”函數(shù),，將符號(hào)鏈接的安全檢查擴(kuò)展到了整個(gè)目標(biāo)路徑，從而解決了這個(gè)問(wèn)題,。

　　應(yīng)該注意的是,，對(duì)漏洞進(jìn)行一次完整的利用需要攻擊者能夠獲得無(wú)限次攻擊嘗試的條件,，因?yàn)榇藭r(shí)系統(tǒng)將會(huì)同時(shí)執(zhí)行兩個(gè)操作（一個(gè)是惡意的，一個(gè)是合法的）,。此外,，盡管研究人員認(rèn)為不知道別人的密碼也有可能對(duì)該漏洞進(jìn)行利用，但到目前為止,，如何獲得目標(biāo)計(jì)算機(jī)用戶的憑證仍然是一個(gè)難題,。

　　該漏洞會(huì)影響到Windows 10（包括32位和64位）v21H1、v20H2,、v2004和v1909版本,；以及Windows Server 2019 64位。

　　微軟對(duì)此并沒(méi)有發(fā)布任何官方補(bǔ)丁發(fā)布的時(shí)間表,，也沒(méi)有立即回應(yīng)評(píng)論,。