Analisis Kerentanan 0day Sistem Windows Microsoft: Dapat Mendapatkan Kontrol Penuh atas Sistem

Bulan lalu, patch keamanan Microsoft memperbaiki kerentanan peningkatan hak akses kernel Windows yang sedang dieksploitasi oleh para peretas. Kerentanan ini terutama ada di versi awal sistem Windows, dan tidak dapat dipicu di Windows 11. Artikel ini akan menganalisis bagaimana penyerang mungkin terus mengeksploitasi kerentanan ini dalam konteks peningkatan mekanisme keamanan saat ini. Lingkungan analisis kami adalah Windows Server 2016.

Kerentanan 0day merujuk pada kerentanan perangkat lunak yang belum ditemukan dan diperbaiki. Setelah ditemukan dan dieksploitasi oleh peretas, dapat menyebabkan kerusakan yang serius. Kerentanan 0day Windows yang baru ditemukan ini memungkinkan penyerang untuk mendapatkan kontrol penuh atas sistem, sehingga dapat mencuri informasi pribadi, menyisipkan perangkat lunak berbahaya, mencuri cryptocurrency, dan sebagainya. Dari perspektif yang lebih luas, kerentanan ini bahkan dapat mempengaruhi seluruh ekosistem Web3 yang didasarkan pada infrastruktur Web2.

Analisis patch menunjukkan, masalah terletak pada pengelolaan penghitungan referensi objek di modul win32k. Komentar kode sumber sebelumnya menunjukkan, kode sebelumnya hanya mengunci objek jendela, tanpa mengunci objek menu di dalam jendela, yang mungkin menyebabkan objek menu direferensikan secara tidak benar.

Kami membangun struktur menu bersarang bertingkat khusus untuk memicu kerentanan. Kuncinya adalah menghapus referensi submenu tertentu dan melepaskannya saat fungsi xxxEnableMenuItem kembali ke lapisan pengguna. Dengan cara ini, ketika fungsi masuk kembali ke mode kernel, objek menu yang sebelumnya dirujuk sudah tidak berlaku.

Dalam menerapkan eksploitasi, kami terutama mempertimbangkan dua skema: mengeksekusi shellcode dan memanfaatkan primitif baca-tulis untuk memodifikasi token. Mengingat mekanisme keamanan Windows versi tinggi, kami memilih yang kedua. Seluruh proses eksploitasi dibagi menjadi dua langkah: pertama mengendalikan nilai cbwndextra, kemudian membangun primitif baca-tulis yang stabil.

Untuk menulis data pertama kali, kami menggunakan titik penulisan dalam fungsi xxxRedrawWindow. Dengan menyusun memori dengan hati-hati, kami dapat mengontrol data memori objek yang berdekatan, sehingga dapat memeriksa melalui tanda dalam fungsi.

Dalam hal tata letak memori, kami merancang tiga objek HWND yang berurutan, melepaskan yang di tengah dan menggunakan objek HWNDClass untuk menempatinya. Dua objek HWND di depan dan belakang masing-masing digunakan untuk memverifikasi dan menerapkan primitif baca-tulis. Kami juga memanfaatkan alamat pegangan kernel yang bocor di memori heap untuk menentukan dengan tepat apakah susunan objek sesuai dengan yang diharapkan.

Akhirnya, kami menggunakan GetMenuBarInfo() untuk mencapai pembacaan sembarangan, SetClassLongPtr() untuk mencapai penulisan sembarangan. Selain modifikasi operasi TOKEN, semua penulisan lainnya dilakukan menggunakan objek class dari objek jendela pertama.

Secara umum, meskipun kerentanan modul win32k sudah ada sejak lama, Microsoft sedang mencoba untuk merestrukturisasi kode terkait dengan Rust, di masa depan kerentanan semacam ini mungkin dapat dihindari di sistem baru. Proses pemanfaatan saat ini tidak terlalu sulit, terutama bergantung pada kebocoran alamat handle tumpukan desktop. Memperbaiki deteksi cakupan kode dan melakukan deteksi yang ditargetkan terhadap operasi memori yang tidak biasa mungkin merupakan cara yang efektif untuk menemukan kerentanan semacam ini.