微軟Windows系統漏洞分析:可能危及Web3生態安全

上月微軟安全更新中包含一個在野利用的win32k提權漏洞,該漏洞似乎僅存在於早期Windows系統版本。本文將分析在當前安全措施不斷改進的背景下,攻擊者可能如何繼續利用這一漏洞。分析過程在Windows Server 2016環境下完成。

這類0day漏洞被發現後可在未被察覺的情況下惡意利用,具有極大破壞性。通過該漏洞,黑客可獲取Windows系統的完全控制權。被控制後果包括個人信息竊取、系統崩潰數據丟失、財務損失、惡意軟件植入等。小範圍影響可能導致私鑰被竊取和數字資產被轉移,大範圍則可能危及基於Web2基礎設施運行的整個Web3生態。

補丁分析

分析補丁發現,問題似乎是一個對象的引用計數被多處理了一次。根據早期源碼注釋可知,以前的代碼只鎖定了窗口對象,沒有鎖定窗口對象中的菜單對象,這可能導致菜單對象被錯誤引用。

漏洞驗證

我們構造了一個特殊的多層嵌套菜單結構,並設置了一些特定條件來觸發漏洞:

1. 最內層菜單ID必須爲系統菜單類型
2. 最外層菜單也必須是系統菜單,但需刪除特定系統菜單項
3. 刪除中間層菜單的父級引用
4. 添加額外的中間層菜單以確保釋放成功

在函數返回用戶層時刪除關鍵菜單引用關係,使其被成功釋放。這樣在後續內核函數中引用該菜單對象時就會出現問題。

漏洞利用

利用思路主要有兩個方向:

1. 執行shellcode代碼 - 這種方式在高版本Windows中可能存在諸多限制
2. 利用讀寫原語修改token地址 - 這種方法具有更好的通用性

我們選擇了第二種方案,將整個利用過程拆分爲兩個關鍵步驟:

1. 利用UAF漏洞控制cbwndextra的值
2. 獲得穩定的讀寫原語

爲實現第一次數據寫入,我們利用窗口類的名稱對象佔用釋放的菜單對象內存,並找到可寫入任意數據的地址結構。最終選擇了通過特定函數中的標志位判斷來寫入數據。

爲獲得穩定的內存布局,我們設計了連續三個大小相同的窗口對象,釋放中間對象並用窗口類對象佔用。通過堆內存中泄露的內核句柄地址來精確判斷對象排列是否符合預期。

讀寫原語方面,我們使用GetMenuBarInfo()實現任意讀,使用SetClassLongPtr()實現任意寫。除token寫入外,其他寫入操作都利用第一個窗口對象的class對象。

總結

1. win32k漏洞在Windows 11預覽版中可能被杜絕
2. 該類漏洞利用過程相對簡單,主要依賴桌面堆句柄地址泄露
3. 漏洞發現可能依賴更完善的代碼覆蓋率檢測
4. 對異常內存布局和數據讀寫的檢測有助於發現此類漏洞