漏洞報告

受影響的平臺：Windows 10和Windows Server 2019

受影響的版本：Windows 10版本1809 +和Windows Server版本1903 +

影響：特權(quán)升級和違反用戶隱私設(shè)置

嚴重性級別：重要

今年1月，F(xiàn)ortiGuard實驗室報告了與Microsoft Windows 10平臺中的用戶隱私相關(guān)的特權(quán)升級漏洞（代號CVE-2020-1296）。6月9日，Microsoft發(fā)布了安全更新，此漏洞才得以修復。此漏洞的根本原因是缺乏隱私設(shè)置隔離以及Windows 10平臺上所有用戶在內(nèi)存中對Windows診斷數(shù)據(jù)反饋的不正確處理。由于此漏洞嚴重影響用戶隱私，建議盡快更新Microsoft升級補丁。

CVE-2020-1296的漏洞方案和相關(guān)詳細信息

系統(tǒng)設(shè)置診斷數(shù)據(jù)級別從“基本”到“完全”特權(quán)升級的漏洞情形

重現(xiàn)步驟：

1.在初始安裝過程中，管理員用戶選擇“完全”設(shè)置，然后還將另一個標準用戶添加到設(shè)備。

2.標準用戶登錄系統(tǒng)，并保持“診斷數(shù)據(jù)”設(shè)置窗口打開。

3.然后，管理員用戶將診斷數(shù)據(jù)設(shè)置更改為“基本”級別。

4.然后，標準用戶將診斷數(shù)據(jù)設(shè)置更改為“完全”級別。

5.然后，標準用戶對“完全”級別的更改也會反映給管理員用戶。

說明：

這里管理員用戶將“完全”更改為“基本”隱私?jīng)]有反映給標準用戶，從而允許標準用戶對所有用戶的診斷數(shù)據(jù)隱私設(shè)置進行未經(jīng)授權(quán)的更改用戶（包括管理員）。

影響：

標準用戶對設(shè)備上所有用戶（包括管理員）進行的診斷數(shù)據(jù)隱私設(shè)置的未經(jīng)授權(quán)的更改，降低了系統(tǒng)上所有用戶的隱私。

從“完全”升級為“基本”特權(quán)漏洞情形

重現(xiàn)步驟：

1.在初始安裝期間，管理員用戶選擇“完全”設(shè)置，然后將另一個標準用戶添加到設(shè)備。

2.標準用戶登錄系統(tǒng)，并將“診斷數(shù)據(jù)”設(shè)置更改為“基本”。

3.標準用戶對“基本”的更改也反映給管理員用戶。

說明：

這是由于設(shè)備上所有用戶之間缺乏隱私設(shè)置隔離。這允許任何用戶更改所有用戶（包括管理員）的隱私設(shè)置。

影響：

盡管此未經(jīng)授權(quán)的更改確實增強了設(shè)備上所有用戶的隱私，但這樣做是有代價的。將診斷數(shù)據(jù)設(shè)置設(shè)置為“基本”會降低Microsoft安全產(chǎn)品（如 Microsoft Edge和Windows Defender SmartScreen）的功能。Microsoft的“完整”設(shè)置允許獲取有關(guān)潛在濫用或惡意域的假名瀏覽歷史記錄數(shù)據(jù)，以對Microsoft Edge和Windows Defender SmartScreen進行更新，以警告用戶有關(guān)此類有害網(wǎng)站的信息。

也可以將其歸類為“安全繞過”漏洞，因為它拒絕 向Windows Insider 用戶提供新的安全/功能更新。Windows Insider Channel用戶必須將“診斷數(shù)據(jù)”設(shè)置設(shè)置為“完全”才能接收任何新的安全/功能更新，對此設(shè)置的任何未經(jīng)授權(quán)的更改都將拒絕該系統(tǒng)上的其他Insider Channel更新。

CVE-2020-1296的總體影響

此問題的總體影響是，它會影響系統(tǒng)上所有用戶的“隱私設(shè)置”。由于特權(quán)升級漏洞而導致未經(jīng)授權(quán)的隱私設(shè)置更改可能給用戶帶來錯誤的安全感，并且還可能拒絕設(shè)備的新安全性或功能更新?！皬幕镜酵耆碧貦?quán)升級漏洞將有效降低系統(tǒng)上所有用戶的隱私，而“從完全到基本”特權(quán)升級漏洞可能會拒絕某些Microsoft產(chǎn)品（例如Windows Defender SmartScreen）提供的主動保護 ，并且還會拒絕Windows Insider用戶的任何其他功能/安全更新。

修復與建議

用戶應立即更新其系統(tǒng)并應用Microsoft的安全補丁。