关键信息 漏洞概述 - EDB-ID: 46716 - CVE: 2019-0732 - 作者: GOOGLE SECURITY RESEARCH - 类型: LOCAL - 平台: WINDOWS - 日期: 2019-04-16 - 漏洞应用: N/A 漏洞描述 - 漏洞名称: Microsoft Windows 10 1809 - LUAFV NtSetCachedSigningLevel Device Guard Bypass - 影响平台: Windows 10 1809 - 漏洞类型: Security Feature Bypass 漏洞细节 - 总结: 通过操控LUAFV操作NtSetCachedSigningLevel系统调用,可以对任意文件应用缓存签名,从而绕过UMCI下的代码签名强制执行。 - 方法: 1. 创建一个包含有效微软签名文件内容的文件(如notepad.exe)。 2. 通过请求DELETE访问虚拟化该文件。 3. 将未签名的可执行文件复制到虚拟存储中。 4. 调用NtSetCachedSigningLevel指定标志4。 证明概念(PoC) - 提供了一个C#项目作为PoC,用于签名任意DLL文件并将其映射到内存中,即使启用了仅微软签名缓解措施。 - 链接: Proof of Concept