windows - ring 0 在 Windows 上如何受到保护？或者，我为什么要关心 Media Player 是否被利用？

Question

我更熟悉 *nix 环境，但我正在尝试从 Windows 的角度了解安全性。我在 Windows 安全领域看到了很多似乎针对外围程序(例如 Media Player 或其他(我假设)用户模式程序)的漏洞利用和补丁。通过控制这些用户程序获得 root 访问权限是微不足道的吗？我本以为攻击目标是特权程序，比如 *nix 上的 telnetd。

Answer 1

“特权程序”是什么意思？

有两个不同的东西:

1. 处理器执行模式(又名环)。 Windows 仅使用两种“极端”模式:内核模式中的最高特权(ring 0)和用户模式中的最低特权(ring 3)。
2. 运行(用户模式)代码的上下文中的用户帐户。

只有在某些驱动程序中存在错误的情况下，(1) 才可能被“破坏”。也就是说，根据定义在内核模式下运行的代码中的错误，理论上可以被利用。除此之外，没有任何漏洞。

如果驱动程序中存在特定错误，则 (2) 也可能会被破坏。也就是说，驱动程序应该在调用进程/线程的上下文中验证用户权限，但可能并不总是这样做。

大多数Windows漏洞都与在用户模式下运行的代码中的问题有关。与 unix/linux 不同，Windows 在“成长”时并没有考虑帐户权限等问题。因此，当需要将内容分为免费/受限时 - 出现了许多问题。

• 许多 Windows 程序都没有“好的”理由要求特权帐户，只是因为它们做了一些过去“历史上”允许的事情(例如访问任意注册表设置、Windows 根目录中的文件等)。
• 即使是在受限帐户下运行的用户模式代码也可能造成足够的危害。