微軟Windows 10更新助手存漏洞：黑客可執行系統級權限代碼

IT前沿10月14日消息據外媒報道，Microsoft Windows 10 Update Assistant（微軟Win 10更新助手）中的一個安全漏洞可使攻擊者執行具有SYSTEM特權的代碼，CVE-2019-1378中記錄了這個權限提升漏洞。后期微軟解釋稱攻擊者最終可以創建具有完整用戶權限的帳戶并獲得訪問權限以丟棄其他有效載荷并控制設備。

微軟表示：“Windows 10 Update Assistant以處理權限的方式存在一個特權提升漏洞。”“經過本地身份驗證的攻擊者可以以更高的系統特權運行任意代碼。成功利用此漏洞進入系統后，攻擊者可以安裝程序；查看，更改或刪除數據；或創建具有完全用戶權限的新帳戶。”

該漏洞最早由Jimmy Bayne發現并報告給Microsoft，無論用戶安裝了哪一版本的Windows 10，該漏洞都會存在于Windows 10 Update Assistant中。

有外媒指出，某些計算機在安裝KB4023814更新之后便會運行Windows 10更新助手，不過此更新僅適用于運行Windows 10版本1803（2018年4月更新）及更高版本的設備，并且專門用于準備升級到Windows 10版本1903（2019年5月更新）。而如果用戶采用的是手動安裝更新助手的方式，那么在運行Windows 101903版系統的設備上運行Windows 10 Update Assistant也容易遭受攻擊。

不過微軟官方已經發布了新版本的Update Assistant來解決此漏洞，建議用戶盡快安裝它。用戶需要手動安裝Win 10更新助手的最新版本或完全刪除它的所有文件。而微軟官方表示該漏洞是被秘密披露的，被利用的可能性較小，目前還沒有關于該漏洞被利用的報道。