微软Windows系统0day漏洞分析与利用

近期微软发布的安全补丁中包含了一个正在被利用的win32k提权漏洞。该漏洞主要存在于早期Windows系统版本中,无法在Windows 11上触发。本文将分析在当前安全防护不断加强的背景下,攻击者如何继续利用这类漏洞。我们的分析过程是在Windows Server 2016环境下完成的。

漏洞背景

0day漏洞指尚未公开且未修复的安全漏洞,类似于金融市场中的T+0交易概念。此类漏洞一旦被发现可能会在不被察觉的情况下被恶意利用,造成巨大破坏。

本次发现的Windows系统0day漏洞可让攻击者获得系统的完全控制权。这可能导致个人信息泄露、系统崩溃、数据丢失、财务损失等严重后果。从Web3角度看,用户的私钥可能被盗取,数字资产被转移。更大范围来说,这个漏洞可能会影响整个基于Web2基础设施运行的Web3生态系统。

漏洞分析

通过分析补丁代码,我们发现这是一个对象引用计数错误的问题。早期win32k代码中的注释显示,以前只锁定了窗口对象,没有锁定窗口中的菜单对象,这可能导致菜单对象被错误引用。

进一步分析发现,在xxxEnableMenuItem函数中,返回的菜单对象可能是窗口主菜单,也可能是子菜单甚至更深层的菜单。这为构造POC提供了思路。

POC实现

我们构造了一个特殊的多层菜单结构,包含四个有特定关系的菜单对象。通过精心设置这些菜单的属性和关系,可以绕过xxxEnableMenuItem函数的检测,并在函数返回时释放关键的菜单对象。这样在后续引用该对象时就会触发UAF漏洞。

漏洞利用(EXP)实现

整体思路

我们考虑了两种利用方向:执行shellcode和利用读写原语修改token。最终选择了后者,因为它在高版本Windows上更可行。我们将整个利用过程分为两步:如何通过UAF控制cbwndextra值,以及如何利用受控的cbwndextra实现稳定的读写原语。

初始数据写入

我们利用窗口类WNDClass的名称对象来占用被释放的菜单对象内存。通过分析各种可能的写入点,最终选择了在xxxRedrawWindow函数中利用对象标志位的AND操作来写入HWNDClass的cb-extra值。

内存布局

我们设计了一个由三个连续HWND对象组成的内存布局,中间的对象被释放并被HWNDClass对象占用。前后的HWND对象分别用于绕过检测和实现最终的读写原语。通过泄露的内核句柄地址,我们可以精确控制这些对象的排列。

读写原语实现

任意读操作使用GetMenuBarInfo函数,任意写操作则使用SetClassLongPtr函数。除了TOKEN的写入依赖第二个窗口的class对象,其他写入操作都利用第一个窗口对象的class对象通过偏移来实现。

总结

1. 微软正在尝试使用Rust重构win32k代码,未来此类漏洞可能在新系统中被彻底解决。

2. 这类漏洞的利用过程相对简单,主要难点在于如何控制第一次数据写入。

3. 漏洞的发现可能得益于更完善的代码覆盖率检测技术。

4. 对于漏洞检测而言,除了关注触发函数的关键点,还应该检测异常的内存布局和数据读写操作。