Analyse et exploitation des vulnérabilités 0day du système Windows de Microsoft

Récemment, un correctif de sécurité de Microsoft a réparé une vulnérabilité d'élévation de privilèges dans le noyau Windows, exploitée par des hackers. Cette vulnérabilité était principalement présente dans les versions antérieures de Windows, et non dans Windows 11. Cet article analysera comment les attaquants continuent d'exploiter cette vulnérabilité dans le contexte d'amélioration continue des mesures de sécurité.

Contexte de la vulnérabilité

Il s'agit d'une vulnérabilité 0day au niveau du système Windows, permettant à un attaquant d'obtenir un contrôle total sur Windows. Les dangers après la prise de contrôle incluent la fuite d'informations personnelles, les pannes système, la perte de données, des pertes financières, l'insertion de logiciels malveillants, etc. Pour les utilisateurs de Web3, il existe un risque que les clés privées soient volées et que les actifs numériques soient transférés. À une échelle plus large, cette vulnérabilité pourrait affecter l'écosystème Web3 fonctionnant sur des infrastructures basées sur Web2.

Analyse de patch

L'analyse du code de patch révèle qu'il semble s'agir d'un problème de comptage des références d'objets traité une fois de trop. D'après les commentaires dans le code source antérieur, on peut comprendre que le code précédent ne verrouillait que l'objet de la fenêtre et ne verrouillait pas l'objet du menu dans l'objet de la fenêtre, ce qui pourrait entraîner une référence incorrecte à l'objet du menu.

Reproduction de la vulnérabilité

Nous avons construit une structure de menu spéciale en quatre niveaux pour déclencher une vulnérabilité. Ces menus doivent répondre à certaines conditions spécifiques pour passer la détection des fonctions associées. Enfin, lors du retour à la couche utilisateur, nous libérons l'objet de menu cible en supprimant la relation de référence entre les menus, rendant ainsi les références ultérieures à cet objet invalides.

Exploitation de vulnérabilités

L'idée principale pour exploiter cette vulnérabilité est de modifier l'adresse du token en lisant et écrivant des primitives. L'ensemble du processus d'exploitation peut être divisé en deux étapes clés : d'abord, comment contrôler la valeur de cbwndextra en exploitant la vulnérabilité UAF, ensuite, comment établir des primitives de lecture et d'écriture stables sur la base de la valeur contrôlée de cbwndextra.

Nous avons réussi à effectuer la première écriture de données grâce à une disposition mémoire soigneusement conçue, en exploitant la relation entre l'objet de fenêtre et l'objet HWNDClass. Par la suite, nous avons alloué trois objets HWND de manière continue, puis libéré l'un d'eux au milieu pour construire la structure mémoire requise.

En ce qui concerne la lecture et l'écriture des primitives, nous utilisons GetMenuBarInfo() pour réaliser des lectures arbitraires, et SetClassLongPtr() pour réaliser des écritures arbitraires. À part l'opération de remplacement de TOKEN, toutes les autres écritures sont effectuées en utilisant l'objet de classe du premier objet de fenêtre via un décalage.

Résumé

1. Microsoft essaie de reconstruire le code associé à win32k en utilisant Rust, à l'avenir, ce type de vulnérabilité pourrait être éliminé dans le nouveau système.

2. Le processus d'exploitation de cette vulnérabilité est relativement simple, la principale difficulté réside dans la manière de contrôler la première écriture.

3. La découverte de vulnérabilités peut dépendre d'une détection de couverture de code plus complète.

4. En ce qui concerne la détection des vulnérabilités, en plus de se concentrer sur les points de fonction clés, il convient également de procéder à des tests ciblés sur les dispositions mémoire anormales et les opérations de lecture/écriture de données.