微軟Windows系統0day漏洞分析:可獲取系統完全控制權

上個月微軟安全補丁修復了一個正被黑客利用的Windows內核提權漏洞。該漏洞主要存在於早期Windows系統版本中,無法在Windows 11上觸發。本文將分析在當前安全機制不斷完善的背景下,攻擊者可能如何繼續利用這一漏洞。我們的分析環境是Windows Server 2016。

0day漏洞是指尚未被發現和修復的軟件漏洞。一旦被黑客發現利用,可能造成嚴重危害。此次發現的Windows 0day漏洞可讓攻擊者獲得系統的完全控制權,進而竊取個人信息、植入惡意軟件、盜取加密貨幣等。從更大範圍來看,這個漏洞甚至可能影響到基於Web2基礎設施的整個Web3生態。

補丁分析顯示,問題出在win32k模塊中一個對象引用計數的處理上。早期源碼注釋表明,之前的代碼只鎖定了窗口對象,而沒有鎖定窗口中的菜單對象,可能導致菜單對象被錯誤引用。

我們構造了一個特殊的多層嵌套菜單結構來觸發漏洞。關鍵是要在xxxEnableMenuItem函數返回用戶層時,刪除某個子菜單的引用並釋放它。這樣當函數再次進入內核態時,之前引用的菜單對象就已經失效了。

在實現漏洞利用時,我們主要考慮了兩種方案:執行shellcode和利用讀寫原語修改token。考慮到高版本Windows的安全機制,我們選擇了後者。整個利用過程分爲兩步:首先控制cbwndextra的值,然後建立穩定的讀寫原語。

爲了寫入第一次數據,我們利用了xxxRedrawWindow函數中的一個寫入點。通過精心布局內存,我們可以控制相鄰對象的內存數據,從而通過函數中的標志檢查。

內存布局方面,我們設計了連續三個HWND對象,釋放中間一個並用HWNDClass對象佔用。前後兩個HWND對象分別用於通過檢驗和實現讀寫原語。我們還利用堆內存中泄露的內核句柄地址來精確判斷對象排列是否符合預期。

最後,我們使用GetMenuBarInfo()實現任意讀,SetClassLongPtr()實現任意寫。除了修改TOKEN的操作,其他寫入都是利用第一個窗口對象的class對象完成的。

總的來說,雖然win32k模塊的漏洞由來已久,但微軟正在嘗試用Rust重構相關代碼,未來這類漏洞可能會在新系統中被杜絕。目前的利用過程並不特別困難,主要依賴於桌面堆句柄地址的泄露。完善代碼覆蓋率檢測和針對性檢測異常內存操作,可能是發現此類漏洞的有效途徑。