微軟Windows系統0day漏洞分析與利用

近期，微軟安全補丁中修復了一個被黑客在野利用的Windows內核提權漏洞。該漏洞主要存在於早期Windows系統版本中，而非Windows 11。本文將分析在當前安全防護措施不斷完善的背景下，攻擊者如何繼續利用這一漏洞。

漏洞背景

這是一個Windows系統層面的0day漏洞，攻擊者可通過該漏洞獲取Windows的完全控制權。被控制後的危害包括個人信息泄露、系統崩潰、數據丟失、財務損失、惡意軟件植入等。對Web3用戶而言，私鑰可能被竊取，數字資產面臨被轉移的風險。從更大範圍來看，該漏洞可能影響基於Web2基礎設施運行的Web3生態。

補丁分析

分析補丁代碼發現，這似乎是一個對象引用計數多處理了一次的問題。通過早期的源碼注釋可以了解到，以前的代碼只鎖定了窗口對象，而沒有鎖定窗口對象中的菜單對象，這可能導致菜單對象被錯誤引用。

漏洞復現

我們構造了一個特殊的四層菜單結構來觸發漏洞。這些菜單需要滿足一些特定條件,以通過相關函數的檢測。最終在返回用戶層時，通過刪除菜單間的引用關係來釋放目標菜單對象,使得後續對該對象的引用變得無效。

漏洞利用

利用該漏洞的主要思路是通過讀寫原語修改token地址。整個利用過程可分爲兩個關鍵步驟:一是如何利用UAF漏洞控制cbwndextra的值,二是如何基於控制的cbwndextra值建立穩定的讀寫原語。

我們通過精心設計的內存布局,利用窗口對象和HWNDClass對象之間的關係,成功實現了第一次數據寫入。隨後通過連續分配三個HWND對象,並釋放中間一個來構造所需的內存結構。

在讀寫原語方面,我們使用GetMenuBarInfo()實現任意讀,使用SetClassLongPtr()實現任意寫。除了TOKEN的替換操作外,其他寫入都是利用第一個窗口對象的class對象通過偏移來完成。

總結

1. 微軟正在嘗試使用Rust重構win32k相關代碼,未來此類漏洞可能在新系統中被杜絕。

2. 該漏洞的利用過程相對簡單,主要難點在於如何控制第一次寫入。

3. 漏洞的發現可能依賴於更完善的代碼覆蓋率檢測。

4. 對於漏洞檢測而言,除了關注關鍵函數點,還應該對異常的內存布局和數據讀寫進行針對性檢測。