通常情况下，基于 Linux 的发行版本要比 Windows 更加安全，但这并不是说就没有漏洞了。近日，网络安全公司 GRIMM 的安全研究人员在 Linux 内核中发现了不少于 3 个漏洞，可以利用这些漏洞可以获得系统的 root 权限。更重要的是，这些漏洞已经存在长达 15 年之久。 这些漏洞（被追踪为 CVE-2021-27363、CVE-2021-27364 和 CVE-2021-27365）存在于内核的 iSCSI 模块中。虽然在默认情况下该模块是没有被加载的，但是 Linux 内核对模块按需加载的支持意味着它可以很容易地被调用到行动中。安全专家在 Red Hat 所有已测试版本和其他发行版本中均存在这些漏洞。 在 GRIMM 博客上，安全研究员 Adam Nichols 表示：“我们在 Linux mainline 内核的一个被遗忘的角落里发现了 3 个BUG，这些 BUG 已经有 15 年的历史了。与我们发现的大多数积满灰尘的东西不同，这些 BUG 依然存在影响，其中一个原来可以作为本地权限升级（LPE）在多个 Linux 环境中使用”。 这些漏洞存在于无法远程访问的代码中，所以无法被黑客远程利用。但这并不意味着它的破坏力不强。Nichols 警告说黑客可以利用这些漏洞发起任何现有的网络威胁，甚至于会让事情变得更加糟糕。可以想象在你的系统中有不信任的用户以 root 权限访问，这是多么的可怕。 在详细介绍这三个漏洞的博文中，Nichols 解释了受影响的系统类型：”为了让这些漏洞暴露在用户区，scsi_transport_iscsi 内核模块必须被加载。当执行创建 NETLINK_ISCSI 套接字的调用时，这个模块会被自动加载。此外，至少有一个 iSCSI 传输必须在 iSCSI 子系统中注册。在某些配置中，当无权限的用户创建 NETLINK_RDMA 套接字时，ib_iser 传输模块将被自动加载。” 正如 SC Media 所解释的那样，这些漏洞已经在以下内核版本中得到修复：5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260 和 4.4.260。而其他已经停止支持的内核将不会收到本次安全修复。             （消息及封面来源：cnBeta）

微软已经修补了一个关键的零日漏洞，朝鲜黑客正利用这个漏洞以恶意软件为目标对安全研究人员进行攻击。 1月份，谷歌和微软的帖子曝光了这些0day攻击。两篇帖子都说，受朝鲜政府支持的黑客花了数周时间与安全研究人员发展工作关系。为了赢得研究人员的信任，黑客创建了一个研究博客和Twitter角色，他们与研究人员联系，询问他们是否愿意就某个项目进行合作。 最终，假的Twitter资料要求研究人员使用Internet Explorer打开一个网页。那些上钩的人会发现，他们打了完整补丁的Windows 10机器被安装了一个恶意服务和一个内存后门，该后门联系了一个黑客控制的服务器。 微软在周二修补了该漏洞，其编号为CVE-2021-26411, 该安全漏洞被评为危急，只需要低复杂度的攻击代码即可利用。谷歌表示，联系研究人员的人为朝鲜政府工作。微软表示，他们是Zinc的一部分，Zinc是微软对一个威胁组织的称呼，而这个威胁组织更出名的名称是Lazarus。在过去的十年中，Lazarus已经从一个零散的黑客团体转变为一个强大的威胁行为者。 据报道，联合国2019年的一份报告估计，Lazarus和相关团体为该国的大规模杀伤性武器项目创造了20亿美元。Lazarus还与关闭全球电脑的Wannacry蠕虫、无文件的Mac恶意软件、针对ATM的恶意软件以及针对叛逃者的恶意Google Play应用有关。 除了使用利用IE的水洞攻击，针对研究人员的Lazarus黑客还向目标发送了一个Visual Studio项目，据称其中包含验证漏洞的源代码。项目里面藏着定制的恶意软件，可以联系攻击者的控制服务器。 虽然微软将CVE-2021-26411描述为 “Internet Explorer内存破坏漏洞”，但周一的公告称，该漏洞也会影响Edge，这是微软从头开始打造的浏览器，比IE安全得多，但没有报告称漏洞已经主动针对该浏览器的用户。 该补丁作为微软周二更新的一部分。微软总共发布了89个补丁。除了IE漏洞外，Win32k组件中的一个单独的升级权限漏洞也在被主动利用中。补丁将在未来一两天内自动安装。想要立即更新的用户应该进入开始>设置（齿轮图标）>更新与安全>Windows更新安装这些安全补丁。           （消息及封面来源：cnBeta）

上周五，网络安全记者布莱恩·克雷布斯（Brian Krebs）和安迪·格林伯格（Andy Greenberg）报道称，在一次前所未有的电子邮件服务器攻击中有多达 3 万个组织受到影响。不过在上周末评估的最新数据，全球有超过 6 万个微软 Exchange 服务器客户被黑客攻击，欧洲银行业管理局承认是受害者之一。 Krebs 目前已经梳理了大规模 Exchange 服务器入侵事件的基本时间表，表示微软早在今年 1 月就已意识到这些漏洞。而首个安全补丁是在将近 2 个月之后才发布的，同时官方还发布了一篇博客文章，但没有解释攻击的范围和规模。甚至于微软原本计划将该补丁放在补丁星期二活动日上推出，但鉴于漏洞影响太大，所以才提前 1 周放出。 MIT Technology Review 报道称，除了主要黑客团体 Hafnium 之外，至少有 5 个黑客团体正在利用 Exchange 服务器的漏洞。目前美国政府官员正在争分夺秒的部署措施，一位官员告诉Cyberscoop，这是“A Big F-ing Deal”。 白宫新闻秘书 Jen Psaki 称这是“一个活跃的威胁”，让人们更加关注国土安全部网络安全机构3月3日发出的紧急指令。白宫国家安全顾问杰克-沙利文也对此提出了警告，前网络安全和基础设施安全局局长克里斯托弗-克雷布斯和白宫国家安全委员会也提出了警告。 Chris Krebs 在推文中写道：“这事情大条了。如果你的组织运行一个暴露在互联网上的OWA服务器，假设在02/26-03/03之间被入侵。检查C:\\inetpub\wwwroot\aspnet_client/system_web中的8个字符aspx文件。如果你搜索到了，你就进入了事件响应模式。” 国家安全委员会在推文中写道：“ 如果服务器已经被入侵，打补丁和缓解措施并不是补救措施。任何拥有易受攻击服务器的组织必须立即采取措施，以确定它们是否已经成为目标”。         （消息来源：cnBeta；封面源自网络）  

伴随着 iOS 系统功能的日趋完善和丰富（例如小部件和深色模式），iPhone 用户也不再执着于越狱了。不过上周末，知名 iPhone 破解团队 unc0ver 发布了最新 6.0.1 版越狱工具，适用于运行 iOS 11 至 iOS 14.3 的 iPhone。 这款越狱工具是该团队基于 CVE-2021-1782 漏洞自主开发的，该漏洞目前已经在 iOS 14.4 版本中修复。该越狱工具适用于 iPhone 6s 及后续产品、iPad Air 2 及后续产品、iPod Touch（第 7 代）。不过需要注意的是，越狱之后如果设备遭到恶意应用程序攻击可能也会获得更高的权限。 你可能还记得，当苹果公司透露上个月发现了被黑客积极利用的漏洞时，我们建议 iPhone 用户尽快更新到 iOS 14.4。看来越狱和苹果的报告很有可能有关，但苹果永远不会肯定证实这一点。         （消息来源：cnBeta；封面源自网络）

一、概述 腾讯安全威胁情报中心检测到有攻击者利用Hadoop Yarn REST API未授权命令执行漏洞攻击云上主机，攻击成功后执行恶意命令，向系统植入挖矿木马、IRC BotNet后门、DDoS攻击木马，入侵成功后还会使用SSH爆破的方式进一步向目标网络横向扩散。 攻击者入侵成功后，会清理系统进程和文件，以清除其他资源占用较高的进程（可能是可疑挖矿木马，也可能是正常服务），以便最大化利用系统资源。入侵者同时会配置免密登录后门，以方便进行远程控制，入侵者安装的IRC后门、DDoS木马具备完整的目标扫描、下载恶意软件、执行任意命令和对特定目标进行网络攻击的能力。 通过对木马家族进行关联分析，发现本次攻击活动与永恒之蓝下载器木马关联度极高，攻击者使用的攻击套件与Outlaw僵尸网络木马高度一致，但尚不能肯定攻击活动由这两个团伙发起。 因本次攻击具有蠕虫式的扩散传播能力，可下载安装后门、执行任意命令，发起DDoS攻击，对受害单位网络信息系统安全构成严重影响。腾讯安全专家建议用户尽快修复Hadoop Yarn REST API未授权命令执行漏洞，避免采用弱口令，采用腾讯安全的技术方案检测系统，清除威胁。 Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。 YARN提供有默认开放在8088和8090的REST API（默认前者）允许用户直接通过API进行相关的应用创建、任务提交执行等操作。在配置不当的情况下，REST API将会开放在公网，从而导致未授权访问的风险，黑客可利用该风险进行远程命令执行，实现对目标主机的完全控制。 自查处置建议 腾讯安全专家建议受影响的用户检查以下项目，清除木马，加固系统。 目录： /tmp/.W10-unix/.rsync/ 计划任务项: 11*/2** /a/upd>/dev/null 2>&1 58**0 /b/sync>/dev/null 2>&1 @reboot /b/sync>/dev/null 2>&1 00*/3** /c/aptitude>/dev/null 2>&1 加固： 1.如果Hadoop环境仅对内网提供服务，请不要将其服务开放到外网可访问。 2.如果必须开启公网访问，Hadoop在2.X以上版本提供了安全认证功能，建议管理员升级并启用Kerberos的认证功能，阻止未经授权的访问。 腾讯安全响应清单 腾讯安全全系列产品，可以在该团伙攻击的各个环节实施检测、防御。 腾讯安全产品应对本次威胁的详细响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）该Miner挖矿团伙相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud  Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）Miner相关联的IOCs已支持识别检测； 2）Miner利用Hadoop Yarn REST API未授权漏洞发起的恶意攻击以支持识别检测，阻断； 3）支持检测SSH爆破攻击活动。 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec   主机安全 （Cloud  Workload Protection，CWP） 1）已支持Miner关联模块的检测告警、查杀清理； 2）支持检测SSH爆破攻击活动。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）Miner相关联的IOCs已支持识别检测； 2）Miner利用Hadoop Yarn REST API未授权漏洞发起的恶意攻击以支持识别检测； 3）支持对SSH爆破攻击活动进行检测。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 （iOA） 1）已支持Miner关联模块的检测告警、查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html 二、详细分析 攻击者使用Hadoop命令执行入侵成功后执行恶意的经过BASE64编码的shell脚本，解码后可知，其目的是使用sftp从sshapi.netcatkit.com内下载dota3.tar.gz包，将其解压后执行目录内的initall文件和golan文件。 /tmp/.W10-unix/.rsync/initall /tmp/.W10-unix/.rsync/c/golan initall执行后则进一步对系统进程，文件进行清理，最终调用执行init2。 Intit2执行后则执行解压包内的多个文件，分别存放在a,b,c三个子文件夹。a目录下文件多层调用后执行挖矿程序；b目录多层调用后传播IRC BotNet后门木马，同时修改系统免密登录配置留下后门；c目录文件主要运行masscan做端口扫描，运行stsm（sshprank）进行暴力破解。 同时将3个目录下的主调度文件写入crontab启动项。 /.rsync/a/init0 主要功能为从文件、进程、网络对其它资源占用较高的程序进行清理，最终调用脚本执行wanwakuang的矿机文件。 /.rsync/a/a x86_64架构下执行挖矿wanwakuang，i686架构下执行anacron，但anacron模块并不存在，推测当前其挖矿平台覆盖度并不完善。 wanwakuang则为xmr矿机程序，进行门罗币挖矿。 /.rsync/b/a 进一步执行/.rsync/b/run程序。 /.rsync/b/run 该脚本主要包含两部分BASE64编码过的恶意命令，第一部分解码后为使用Perl编写的IRC BotNet木马，第二部分解码后主要为结束其它资源占用进程的shell命令，该文件同时会篡改authorized_keys文件进行免密登录后门配置。 解码后Perl编写的IRC BotNet 木马，该木马会对C2地址：api.netcatkit.com:443建立IRC连接，本地NICK，USER随机生成，管理员NICK为polly，molly。IRC连接成功后默认加入#007频道，木马具备基本的远程shell命令执行，文件下载，ddos网络攻击等功能。 指定目标进行Shell命令执行。 指定目标端口扫描，指定下载。 指定目标进行TCP，UDP，IGMP，ICMP类型流量攻击。 /.rsync/c/golan 调用masscan端口扫描工具和stsm暴力破解工具，对局域网内的开放的SSH服务进行暴破攻击，扫描时会首先获取本地SSH历史登录配置信息，通过直接攻击本地登录过的机器以提高其爆破成功率。 分析可知，该挖矿攻击代码结构，调度流程与Outlaw僵尸网络高度一致，下左图为本次捕获到的挖矿套件，右为Outlaw僵尸网络攻击套件。两者有着基本一致的包名，子模块名，脚本调度流程。不同之处为两者挖矿模块名字不同，挖矿模块存储方式分别为本地包内存储化和动态C2下载形式，同时两者使用到的扫描器有些许差异。 从其攻击方式和基础设施来看，更像是永恒之蓝家族投递，样本payload都使用netcatkit.com，sqlnetcat.com下的子域名进行托管，同时最终的包名，挖矿模块名有一致性。 下图为最近捕获的永恒之蓝下载器木马使用Hadoop Yarn REST API未授权命令执行攻击入侵，其payload托管地址为t.netcatkit.com/ln.core。 永恒之蓝payload其内当前注释掉的代码部分，下载链接包解压后执行initall：down.sqlnetcat.com/dota3.tar.gz（当前下载链接失效），dota3.tar.gz同样解压出名为的.rsync攻击套件。         IOCs MD5: 6eb76f7d81e899b29c03b8ee62d9acb3 be85068596881f3ebd6c0c76288c9415 10ea65f54f719bffcc0ae2cde450cb7a 4adb78770e06f8b257f77f555bf28065 eefc0ce93d254982fbbcd26460f3d10d be5771254df14479ad822ac0a150807a e46e8c74e2ae7d9bc2f286793fe2b6e2 c2531e3ee3b3ca43262ab638f9daa101 f093aae452fb4d8b72fe9db5f3ad559a c97485d5ba33291ed09b63286a7d124c 3570a54d6dace426e9e8520f302fe551 Domain： sshapi.sqlnetcat.com sshapi.netcatkit.com sshapi.ouler.cc api.netcatkit.com www.minpop.com t.netcatkit.com down.sqlnetcat.com URL： hxxp://www.minpop.com/sk12pack/names.php hxxp://www.minpop.com/sk12pack/idents.php  

微软正努力修复存在于 Windows 10 系统中的关键 NTFS 漏洞。当用户打开 HTML 文件、Windows 快捷方式或者解压缩包含单行命令的 Zip 文件时候，这个漏洞可能会损坏用户的磁盘。在该漏洞被触发的时候，用户就会看到一个弹出窗口，表示他们需要重启电脑来修复硬盘错误，以便于重启时启动 Windows 检查磁盘实用程序来修复损坏的磁盘。 这个漏洞事实上是在两年前，由前 CERT 协调中心的安全研究员 Will Dorman 发现的。他表示 Windows 10 Version 1803 及此前版本并不受该漏洞影响，但是 Windows XP 也存在这个问题。这个漏洞相当严重，因为它可以隐藏在一个随机的文件中，并瞬间破坏你的硬盘驱动器。 更糟糕的是，Bleeping Computer发现，当Windows文件资源管理器简单地显示一个损坏的快捷方式，将恶意命令隐藏在文件夹中时，它也可以被触发。报告解释说：“为了做到这一点，Windows资源管理器会试图在后台访问文件内的手工图标路径，从而在这个过程中破坏NTFS硬盘驱动器”。 微软终于在给The Verge的一份声明中承认了这一关键漏洞，并承诺在未来的更新中进行修复。微软发言人说：“我们知道这个问题，并将在未来的版本中提供更新。这种技术的使用依赖于社交工程，我们一如既往地鼓励我们的客户在网上养成良好的计算习惯，包括在打开未知文件、或接受文件传输时谨慎行事”。         （消息来源：cnBeta；封面源自网络）

近日，日本川崎重工披露了一项安全漏洞，该公司发现多个海外办事处未授权访问日本公司服务器，该安全漏洞可能导致其海外办事处的信息被盗。 川崎重工有限公司是一家日本的跨国公司，主要生产摩托车、发动机、重型设备、航空航天、国防设备、机车车辆和船舶，也涉及工业机器人、燃气轮机、锅炉和其他工业产品的生产。 公司发布声明：“截止2020年6月11日，安全人员发现从泰国站点未经授权访问日本服务器的情况，随后又发现了从其他海外站点（印度尼西亚、菲律宾和美国）未经授权的访问日本服务器的情况。” 该公司随后加强了对海外办事处访问的监控操作，还限制了从国外对日本服务器的访问。 11月30日，公司恢复了海外办事处与日本总部之间终止的网络通信。 川崎重工有限公司表示：“经过调查，海外办事处的相关信息可能已被泄露。” 自发现该漏洞以来，川崎安全团队与外部安全专家公司合作调查并实施对策。其调查证实了信息泄露可能性。但截止目前，还未发现泄露信息的证据。 除此之外，国防承包商Pasco、神户制铁和 三菱电机等日本知名企业在今年也受到了类似的网络攻击。               消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

日前，谷歌反馈工具中的存在安全漏洞，可使黑客窃取私人文档。该漏洞于7月9日被安全研究员Sreeram KL发现，他因此项发现获得了$ 3133.70的奖励。 Google的许多产品，包括Google Docs，都带有“发送反馈”或“帮助提升”的选项，用户可发送反馈反映相关问题。但反馈功能部署在Google官方网站（“ www.google.com”）中，并通过iframe元素集成到其他域中，该元素从“反馈”加载.googleusercontent.com弹出式窗口。” 这意味着，每当包含Google文档窗口的屏幕被截图时，图像都需要将每个像素的RGB值传输到父域（www.google.com），然后将这些RGB值重定向到反馈域，最终构造图像并将其以Base64编码格式发送回去。 Sreeram发现了传递到“ feedback.googleusercontent.com”方式中的漏洞，使黑客可以将框架修改为任意外部网站，进而窃取Google Docs屏幕截图。 值得注意的是，该漏洞源于Google Docs域中缺少X-Frame-Options标头，这使得黑客可以更改消息的目标来源并利用页面与其中的框架之间的跨域进行通信。 尽管此类网络攻击需要一定形式的用户交互，但利用程序可以轻松捕获上传的屏幕快照的URL并将其泄漏到恶意站点。这可以通过在恶意网站上的iFrame中嵌入Google Docs文件并劫持反馈弹出框以将内容重定向到黑客选择的域来实现。 在跨域通信期间未能提供目标源会引起安全人员的注意，因为它会公开将数据发送到任意网站。 Mozilla文档警示：“恶意站点可以在用户不知情的情况下更改窗口位置，进而拦截使用postMessage发送的数据。因此当使用postMessage将数据发送到其他窗口时，请始终指定确切的目标来源，而不是* 。”               消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

谷歌 “零号项目 “专门用来发现该公司自己软件以及其他公司软件中的漏洞，并私下向供应商报告，在公开披露前给它们90天时间进行修复。根据所需修复的复杂程度，它有时还会以宽限期的形式提供额外的天数。在过去几年中，在厂商无法及时修补后，谷歌 “零号项目 “安全团队已经披露了多个安全漏洞。 访问漏洞细节： https://bugs.chromium.org/p/project-zero/issues/detail?id=2096 这包括高通Adreno GPU驱动、微软Windows、苹果macOS等当中存在的漏洞。现在，它公开披露了Windows中的一个安全漏洞，如果被人利用，会导致权限提升。 谷歌 “零号项目 “安全人员表示，恶意进程可以向splwow64.exe Windows进程发送本地过程调用（LPC）消息，攻击者可以通过它向splwow64内存空间中的任意地址写入任意值。这本质上意味着攻击者控制了这个目标地址和任何被复制到该地址的内容。 这个漏洞并不完全是新的。事实上，卡巴斯基的一位安全研究人员在今年早些时候就报告了这一问题，微软早在6月份就打了补丁。不过，这个补丁现在已经被Google Project Zero的Maddie Stone认定为不完整，他表示，微软的修复只会改变指向偏移量的指针，这意味着攻击者仍然可以使用偏移量值来攻击它。 9月24日，Google Project Zero私下向微软报告了零日的情况，标准的90天期限将于12月24日到期。微软最初计划在11月发布修复程序，但该发布时间段随后滑落到12月。之后，它告诉谷歌，它在测试中发现了新的问题，现在它将在2021年1月发布一个补丁。 12月8日，双方开会讨论了进展和下一步的计划，其中确定不能向微软提供14天的宽限期，因为该公司计划在2021年1月12日的补丁周二发布补丁，比宽限期多出6天。Project Zero团队计划在明年再次重新审视政策，但已经公开披露了该漏洞与概念验证代码。技术报告还不清楚这影响到哪些版本的Windows，但卡巴斯基几个月前的报告显示，攻击者一直在利用它来攻击新版本的Windows10。       （消息来源：cnBeta；封面来源于网络）

在微软今年 6 月发布的更新中，修复了存在于 Windows 系统中的一个高危漏洞，允许黑客在受感染的设备上将权限提高到内核级别。这个漏洞在今年 5 月被高级黑客作为零日漏洞使用，不过近日谷歌 Project Zero 团队使用公开的概念证明，表示这个问题依然存在，只是方法有所不同。 谷歌 Project Zero 安全研究员 Maddie Stone 发现，微软 6 月份的补丁并没有修复原来的漏洞(CVE-2020-0986)，经过一些调整后，该漏洞仍然可以被利用。2020 年 5 月，该问题与 Internet Explorer中的一个允许远程代码执行的 BUG 一起被黑客利用进行权限升级。在卡巴斯基发现攻击时，这两个缺陷都是零日。 Stone 表示，攻击者现在仍然可以通过发送偏移量而不是指针来触发CVE-2020-0986，将权限增加到内核级别。在Twitter上，研究人员阐明说，最初的bug是一个任意的指针误引，允许攻击者控制memcpy函数的 “src “和 “dest “指针。 但是微软的修复补丁是不恰当的，因为微软只是将指针改为偏移，所以函数的参数仍然可以被控制。在今天的一份简短的技术报告中，她解释了如何触发该漏洞，现在确定为CVE-2020-17008。 一个低完整性的进程可以发送LPC消息到splwow64.exe（中等完整性），并在splwow64的内存空间中获得 write-what-where 权限 。攻击者通过memcpy调用控制目标、复制的内容和复制的字节数。       （消息来源：cnBeta；封面来源于网络）