一、 基本情况

      Windows Win32k存在本地特权提升漏洞，CVE编号：CVE-2019-1458。攻击者通过该漏洞可在内核模式下运行任意代码，进一步可安装程序，查看、更改或删除数据，或创建具有完全用户权限的新帐户。

      二、 攻击原理

      研究人员在调查Operation WizardOpium时发现了该零日漏洞，该漏洞利用了Google Chrome中单独的零日漏洞（CVE-2019-13720）。在这些攻击中，Chrome漏洞嵌入了CVE-2019-1458，因此攻击者可以在逃脱Chrome进程沙箱的同时获得受感染计算机的更高特权。

      对特权升级漏洞的分析显示，该漏洞属于win32k.sys驱动程序，并且适用于Windows 7的最新版本和Windows 10的一些内部版本。Windows10的新版本不受影响，因为它们包含防止Windows XP升级的措施。研究人员解释说，正常使用可利用代码。值得注意的是，这也会影响Windows Server 2008，它将与Windows 7一起在1月14日之后不再接收安全更新。

      三、 影响范围

      受影响版本：

      Microsoft Windows 10 Version 1607 for 32-bit Systems

      Microsoft Windows 10 Version 1607 for x64-based Systems

      Microsoft Windows 10 for 32-bit Systems

      Microsoft Windows 10 for x64-based Systems

      Microsoft Windows 7 for 32-bit Systems SP1

      Microsoft Windows 7 for x64-based Systems SP1

      Microsoft Windows 8.1 for 32-bit Systems

      Microsoft Windows 8.1 for x64-based Systems

      Microsoft Windows RT 8.1

      Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1

      Microsoft Windows Server 2008 R2 for x64-based Systems SP1

      Microsoft Windows Server 2008 for 32-bit Systems SP2

      Microsoft Windows Server 2008 for Itanium-based Systems SP2

      Microsoft Windows Server 2008 for x64-based Systems SP2

      Microsoft Windows Server 2012

      Microsoft Windows Server 2012 R2

      Microsoft Windows Server 2016

      四、 处置建议

      目前微软官方已发布安全补丁，请用户及时更新：

      https://support.microsoft.com/en-us/help/20191210/security-update-deployment-information-december-10-2019

      五、参考链接

      1) https://zh-cn.tenable.com/blog/microsofts-december-2019-patch-tuesday-includes-fix-for-zero-day-exploited-in-the-wild-cve-0?tns_redirect=true

      2) https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/