安全研究人员发现了Windows中25种以上的潜在漏洞，其中一些可能导致特权提升。

该错误影响了已经存在于操作系统中数十年的用户界面win32内核（win32k）组件，并影响了所有版本的Windows（包括Windows 10），因为Microsoft保持代码向后兼容。

实际上，研究人员在最新的Windows Insider Preview中测试了来宾帐户上的漏洞，该漏洞于2019年9月进行了更新。

在本周发布的白皮书（PDF）中，以色列安全研究员Gil Dabah着重研究了Handle Manager组件的UI对象引用计数机制，该机制容易受到新型攻击。

Dabah说，对这些问题的研究基于先前对用户模式回调漏洞的调查，这些调查的根源是win32k最初设计为以用户模式运行，然后才移至内核。导致释放后使用（UAF）攻击的许多错误已在最近几年得到解决。

新发现的攻击针对的是win32k中对象销毁的工作方式-对象的链接方式可以允许在销毁目标对象时销毁受害者对象。

从本质上讲，该攻击可确保将受害子窗口与目标窗口对象一起销毁。创建子窗口时，父窗口将被锁定，因为窗口创建会回调到用户模式，并且只有在创建成功（并且子窗口继续使用）时才被释放。

“在我们的攻击中，我们找到了一种在ThreadUnlock函数中创建父窗口将消失（释放）的情况的方法，只需利用内核在窗口创建例程中回调回用户模式的事实，并即使父窗口处于锁定状态，我们也会从用户模式中破坏该父窗口。”研究人员解释说。

父窗口在ThreadUnlock内部被破坏，这也破坏了子窗口，从而导致UAF条件，其中使用了不存在的窗口对象。Dabah指出，没有特权的攻击者最终可能会利用这种情况。

“与先前的研究攻击技术不同，因为在对象真正释放时没有回调到用户模式，为了能够伪造替代假窗口对象以使攻击成功，因此两次攻击之间存在竞争条件。窗口对象已释放，并且再次使用了该时间。”他说。

Dabah在其研究论文中不仅描述了攻击的工作原理，还提供了有关已发现漏洞的信息。他还发布了针对25个漏洞中的13个的概念验证（PoC）代码。发现的漏洞中有11个可以被滥用来提升特权。

研究人员解释说，Windows 10 中的TypeIsolation缓解技术使对其中一些问题的利用更加困难，但是指出，针对具有相同对象类型的较旧Windows迭代仍然是完全可行的。

他说，微软已经解决了其中一些问题，但是尚未广泛采取缓解措施。