Phân tích và khai thác lỗ hổng 0day của hệ thống Microsoft Windows

Gần đây, bản vá bảo mật của Microsoft đã khắc phục một lỗ hổng nâng cao quyền truy cập trong nhân Windows bị tin tặc khai thác. Lỗ hổng này chủ yếu tồn tại trong các phiên bản hệ điều hành Windows cũ, không phải Windows 11. Bài viết này sẽ phân tích cách mà kẻ tấn công tiếp tục khai thác lỗ hổng này trong bối cảnh các biện pháp bảo vệ an ninh hiện tại đang được hoàn thiện.

Bối cảnh lỗ hổng

Đây là một lỗ hổng 0day ở cấp độ hệ thống Windows, kẻ tấn công có thể thông qua lỗ hổng này để chiếm quyền kiểm soát hoàn toàn Windows. Những nguy hại sau khi bị kiểm soát bao gồm rò rỉ thông tin cá nhân, hệ thống bị sập, mất dữ liệu, tổn thất tài chính, cài đặt phần mềm độc hại, v.v. Đối với người dùng Web3, khóa riêng có thể bị đánh cắp, tài sản kỹ thuật số đối mặt với nguy cơ bị chuyển nhượng. Nhìn từ một phạm vi rộng hơn, lỗ hổng này có thể ảnh hưởng đến hệ sinh thái Web3 hoạt động dựa trên cơ sở hạ tầng Web2.

Phân tích bản vá

Phân tích mã vá cho thấy, đây có vẻ là một vấn đề liên quan đến việc tham chiếu đối tượng được xử lý nhiều lần. Qua các chú thích trong mã nguồn trước đây, có thể hiểu rằng mã trước đây chỉ khóa đối tượng cửa sổ, mà không khóa đối tượng menu trong đối tượng cửa sổ, điều này có thể dẫn đến việc đối tượng menu bị tham chiếu sai.

Tái hiện lỗ hổng

Chúng tôi đã xây dựng một cấu trúc menu bốn lớp đặc biệt để kích hoạt lỗ hổng. Những menu này cần đáp ứng một số điều kiện cụ thể để vượt qua sự kiểm tra của các hàm liên quan. Cuối cùng, khi trở về lớp người dùng, bằng cách xóa mối quan hệ tham chiếu giữa các menu, chúng tôi giải phóng đối tượng menu mục tiêu, khiến cho các tham chiếu tiếp theo đến đối tượng đó trở nên không hợp lệ.

Khai thác lỗ hổng

Ý tưởng chính để khai thác lỗ hổng này là thay đổi địa chỉ token thông qua việc đọc và ghi nguyên thủy. Toàn bộ quá trình khai thác có thể được chia thành hai bước then chốt: thứ nhất là làm thế nào để khai thác lỗ hổng UAF để kiểm soát giá trị cbwndextra, thứ hai là làm thế nào để thiết lập các nguyên thủy đọc và ghi ổn định dựa trên giá trị cbwndextra đã kiểm soát.

Chúng tôi đã thành công trong việc thực hiện lần ghi dữ liệu đầu tiên thông qua việc thiết kế cẩn thận bố cục bộ nhớ, tận dụng mối quan hệ giữa đối tượng cửa sổ và đối tượng HWNDClass. Sau đó, chúng tôi đã phân bổ liên tiếp ba đối tượng HWND và giải phóng một đối tượng ở giữa để xây dựng cấu trúc bộ nhớ cần thiết.

Trong việc đọc và ghi nguyên thủy, chúng tôi sử dụng GetMenuBarInfo() để thực hiện việc đọc tùy ý, và sử dụng SetClassLongPtr() để thực hiện việc ghi tùy ý. Ngoài việc thay thế TOKEN, các thao tác ghi khác đều được thực hiện thông qua đối tượng lớp của đối tượng cửa sổ đầu tiên bằng cách sử dụng độ lệch.

Tóm tắt

1. Microsoft đang cố gắng sử dụng Rust để tái cấu trúc mã liên quan đến win32k, trong tương lai, các lỗ hổng như vậy có thể được loại bỏ trong hệ thống mới.

2. Quá trình khai thác lỗ hổng này tương đối đơn giản, điểm khó khăn chủ yếu là làm thế nào để kiểm soát việc ghi lần đầu tiên.

3. Việc phát hiện lỗ hổng có thể phụ thuộc vào việc kiểm tra độ bao phủ mã hoàn thiện hơn.

4. Đối với việc phát hiện lỗ hổng, ngoài việc chú ý đến các điểm hàm quan trọng, còn nên tiến hành kiểm tra nhắm đến việc bố trí bộ nhớ bất thường và việc đọc ghi dữ liệu.