微软Windows系统漏洞分析:可能危及Web3生态安全

上月微软安全更新中包含一个在野利用的win32k提权漏洞,该漏洞似乎仅存在于早期Windows系统版本。本文将分析在当前安全措施不断改进的背景下,攻击者可能如何继续利用这一漏洞。分析过程在Windows Server 2016环境下完成。

这类0day漏洞被发现后可在未被察觉的情况下恶意利用,具有极大破坏性。通过该漏洞,黑客可获取Windows系统的完全控制权。被控制后果包括个人信息窃取、系统崩溃数据丢失、财务损失、恶意软件植入等。小范围影响可能导致私钥被窃取和数字资产被转移,大范围则可能危及基于Web2基础设施运行的整个Web3生态。

补丁分析

分析补丁发现,问题似乎是一个对象的引用计数被多处理了一次。根据早期源码注释可知,以前的代码只锁定了窗口对象,没有锁定窗口对象中的菜单对象,这可能导致菜单对象被错误引用。

漏洞验证

我们构造了一个特殊的多层嵌套菜单结构,并设置了一些特定条件来触发漏洞:

1. 最内层菜单ID必须为系统菜单类型
2. 最外层菜单也必须是系统菜单,但需删除特定系统菜单项
3. 删除中间层菜单的父级引用
4. 添加额外的中间层菜单以确保释放成功

在函数返回用户层时删除关键菜单引用关系,使其被成功释放。这样在后续内核函数中引用该菜单对象时就会出现问题。

漏洞利用

利用思路主要有两个方向:

1. 执行shellcode代码 - 这种方式在高版本Windows中可能存在诸多限制
2. 利用读写原语修改token地址 - 这种方法具有更好的通用性

我们选择了第二种方案,将整个利用过程拆分为两个关键步骤:

1. 利用UAF漏洞控制cbwndextra的值
2. 获得稳定的读写原语

为实现第一次数据写入,我们利用窗口类的名称对象占用释放的菜单对象内存,并找到可写入任意数据的地址结构。最终选择了通过特定函数中的标志位判断来写入数据。

为获得稳定的内存布局,我们设计了连续三个大小相同的窗口对象,释放中间对象并用窗口类对象占用。通过堆内存中泄露的内核句柄地址来精确判断对象排列是否符合预期。

读写原语方面,我们使用GetMenuBarInfo()实现任意读,使用SetClassLongPtr()实现任意写。除token写入外,其他写入操作都利用第一个窗口对象的class对象。

总结

1. win32k漏洞在Windows 11预览版中可能被杜绝
2. 该类漏洞利用过程相对简单,主要依赖桌面堆句柄地址泄露
3. 漏洞发现可能依赖更完善的代码覆盖率检测
4. 对异常内存布局和数据读写的检测有助于发现此类漏洞