不想看废话可以直接拉到中间看视频演示，一步到位。

Microsoft在2019年11月将此漏洞修补为CVE-2019-1388。在其撰写的文章中，他们指出此修复程序是通过“确保Windows证书对话框正确执行用户权限”实现的。

该漏洞可在UAC（用户帐户控制）机制中找到。默认情况下，Windows在称为“安全桌面”的单独桌面上显示所有UAC提示。提示本身是由名为可执行文件生成的，该可执行文件以System的完整性级别consent.exe运行NT AUTHORITY\SYSTEM。

由于用户可以与此UI进行交互，因此有必要对UI进行严格限制。否则，低特权用户可能通过UI会去启动其他程序作为入口点，进行提权操作。

下面为发现漏洞的思路：

一开始为了获取system权限，因此先右键单击任何可执行文件并选择以管理员身份运行，紧接着会弹出输入UAC提示，安全提示框如下：

点击下面的Show details 显示细节，发现有个链接指向程序的证书提示框

到这一步，也许找不到突破口，但是如果证书对话框定义了一个Microsoft特定对象标识符（OID），值1.3.6.1.4.1.311.2.1.10。其中WinTrust.h标头将其定义为SPC_SP_AGENCY_INFO_OBJID，如果存在，则将在细节标签中显示为SpcSpAgencyInfo。该OID的语义文献很少。但是，似乎证书对话框会解析此OID的值，如果它找到有效且格式正确的数据，它将使用它来将“常规”选项卡上的“颁发者”字段呈现为超链接。

当涉及证书对话框的UAC版本时，Microsoft没有禁用此超链接。

通过搜寻，发现了自带有此类证书的古老的Microsoft签名的可执行文件的副本：

单击超链接将启动一个浏览器，浏览器将以NT AUTHORITY\SYSTEM方式运行。奇怪的是，即使该浏览器是作为SYSTEM启动的，但是它仍显示在普通桌面而不是安全桌面上。因此，只有在用户退出所有UAC对话框后，它才变得可见。

因此对于攻击者来说，这具有天然的隐藏优势。

视频演示:

外网研究人员的进程链检测脚本都写好了

有兴趣自取检测

https://github.com/Neo23x0/sigma/blob/master/rules/windows/process_creation/win_exploit_cve_2019_1388.yml

参考链接:

https://www.zerodayinitiative.com/blog/2019/11/19/thanksgiving-treat-easy-as-pie-windows-7-secure-desktop-escalation-of-privilege

后记

鉴于网络安全威胁信息发布管理办法（征求意见稿）已经发布，里面提到了下面这两点。

因此本文标题修改为风险提示，并且由于本文披露的攻击是主机漏洞攻击，不属于网络层的攻击，且文章来源为国外，特发布。

再结合昨日文章中提及的网站聊聊。

点击🔜▲网络安全天文台：一个集结境外网安宏观态势和模型的网站

其正好更新了关于中国网络安全市场的分布情况，看来在老外眼中，并不像我们国内一些报道的那么多元化

在看一些我们最看不上的印度，本在我的概念里面，这个国家不应该网络安全发展很好(除去考虑他们是软件大国的因素)，但是他在国外安全界眼里，印度一些网络安全产品的多元化特性确实是做到了，分布在了每一个领域。

虽然我们可能会说，这是中西方网络互联差异导致，但我觉得未必，世人皆知中美黑客大战，那是打出来的名声，西方黑客皆知乌云，那是知识共享出来的名声，那如今呢？

不多说，打了很多字，怕惹麻烦都删了，鉴于该管理法即将颁布，因此我将知识星球封山了，有需要的赶紧扫码进入，比公众号好看的情报里面比比皆是，并且严禁传播，从此信息孤岛化时代，彻底来临。

点个赞，每日一个奇葩情报故事