Аналіз та використання 0day-вразливостей системи Microsoft Windows

Нещодавно в безпековому патчі Microsoft було виправлено вразливість підвищення привілеїв у ядрі Windows, яка експлуатувалася хакерами. Ця вразливість переважно існувала в ранніх версіях системи Windows, а не в Windows 11. У цій статті буде проаналізовано, як зловмисники продовжують використовувати цю вразливість на фоні постійного вдосконалення сучасних засобів безпеки.

Фон вразливості

Це уразливість нульового дня на рівні системи Windows, через яку зловмисники можуть отримати повний контроль над Windows. Наслідки контролю можуть включати витік особистої інформації, аварії системи, втрату даних, фінансові втрати, впровадження шкідливого програмного забезпечення тощо. Для користувачів Web3 можливе викрадення приватних ключів, а цифрові активи можуть піддаватися ризику переміщення. В більшому масштабі ця уразливість може вплинути на екосистему Web3, що працює на базовій інфраструктурі Web2.

Аналіз патчів

Аналіз коду патчу виявив, що це, схоже, проблема з надмірним обробленням рахунку посилань на об'єкт. З ранніх коментарів у вихідному коді можна зрозуміти, що попередній код лише блокував об'єкт вікна, не блокуючи об'єкт меню в об'єкті вікна, що могло призвести до помилкового посилання на об'єкт меню.

Відтворення вразливості

Ми створили спеціальну чотирирівневу структуру меню для активації вразливості. Ці меню повинні відповідати деяким специфічним умовам, щоб пройти перевірку відповідних функцій. Врешті-решт, при поверненні на рівень користувача, шляхом видалення відносин посилань між меню звільняється об'єкт цільового меню, що робить подальші посилання на цей об'єкт недійсними.

Використання вразливостей

Основна ідея використання цієї вразливості полягає у зміні адреси токена за допомогою читання та запису примітивів. Весь процес експлуатації можна розділити на два ключові етапи: по-перше, як контролювати значення cbwndextra за допомогою вразливості UAF, по-друге, як на основі контрольованого значення cbwndextra створити стабільні примітиви читання та запису.

Ми успішно реалізували перший запис даних, використавши ретельно спроектовану пам'ять, а також зв'язок між об'єктами вікна та об'єктами HWNDClass. Потім ми створили потрібну структуру пам'яті, послідовно виділивши три об'єкти HWND і звільнивши один з них.

У читанні та запису примітивів ми використовуємо GetMenuBarInfo() для виконання довільного читання, а SetClassLongPtr() для виконання довільного запису. Крім операцій заміни TOKEN, інші записи виконуються за допомогою класу першого об'єкта вікна через зсув.

Підсумок

1. Microsoft намагається переписати код, пов'язаний з win32k, за допомогою Rust, в майбутньому подібні вразливості можуть бути усунуті в новій системі.

2. Процес використання цієї уразливості досить простий, основна складність полягає в тому, як контролювати перше записування.

3. Виявлення вразливостей може залежати від більш досконалого контролю покриття коду.

4. Щодо виявлення вразливостей, окрім уваги до критичних функцій, слід також проводити цілеспрямоване виявлення аномальної структури пам'яті та читання/запису даних.