Análisis de la vulnerabilidad 0day del sistema Windows de Microsoft: podría tener un impacto significativo en el ecosistema Web3

El mes pasado, el parche de seguridad de Microsoft incluía una vulnerabilidad de escalamiento de privilegios en win32k que estaba siendo explotada en el medio. Esta vulnerabilidad parece no poder activarse en la versión de Windows 11, existiendo solo en sistemas anteriores. Este artículo analizará cómo los atacantes pueden seguir explotando esta vulnerabilidad en el contexto de las nuevas medidas de mitigación que continúan mejorando. El proceso de análisis se llevó a cabo en un entorno de Windows Server 2016.

Una vulnerabilidad 0day se refiere a una vulnerabilidad que no ha sido divulgada ni reparada, que puede ser explotada maliciosamente por atacantes sin ser detectados, y que a menudo tiene un gran potencial destructivo. La vulnerabilidad 0day descubierta en esta ocasión se encuentra en el nivel del sistema operativo Windows, y los hackers pueden obtener el control total de Windows a través de ella. Esto podría resultar en el robo de información personal, pérdida de datos debido a fallos del sistema, pérdidas financieras, implantación de malware, entre otras consecuencias. Desde la perspectiva de Web3, las claves privadas de los usuarios podrían ser robadas y los activos digitales transferidos. A una escala mayor, esta vulnerabilidad podría incluso afectar a todo el ecosistema Web3 que opera sobre la infraestructura de Web2.

El análisis del parche revela que el problema radica en que el conteo de referencias de un objeto se ha procesado una vez de más. A través de los comentarios en el código fuente anterior, se puede ver que el código anterior solo bloqueaba el objeto ventana, sin bloquear el objeto menú dentro del objeto ventana, donde el objeto menú podría haber sido referenciado incorrectamente.

Para verificar la vulnerabilidad, implementamos un concepto de prueba (PoC). Al construir menús anidados especiales de múltiples capas, se puede desencadenar la vulnerabilidad en la función xxxEnableMenuItem. La clave es eliminar la relación de referencia entre el menú C y el menú B en el momento adecuado, liberando con éxito el objeto del menú C. De esta manera, cuando la función xxxEnableMenuItem retorna, el objeto del menú C que se va a referenciar ya no es válido.

Al implementar la explotación (Exp), consideramos principalmente dos enfoques: ejecutar código shellcode y utilizar primitivas de lectura y escritura para modificar la dirección del token. Finalmente, elegimos el segundo, ya que este método todavía tiene exploits públicos de referencia en los últimos dos años. Todo el proceso de explotación se divide en dos pasos: primero, aprovechamos la vulnerabilidad UAF para controlar el valor de cbwndextra, y luego establecemos primitivas de lectura y escritura estables.

A través de un diseño cuidadoso de la disposición de la memoria, podemos lograr un control preciso sobre el objeto objetivo. Utilizando las funciones GetMenuBarInfo() y SetClassLongPtr(), se implementan respectivamente las primitivas de lectura y escritura arbitrarias. Aparte de la operación de escritura que reemplaza TOKEN, que depende del objeto de clase de la segunda ventana, todas las demás escrituras utilizan el objeto de clase de la primera ventana con un desplazamiento para escribir.

En general, aunque la vulnerabilidad win32k ha existido durante mucho tiempo, Microsoft está intentando reestructurar esa parte del código del núcleo utilizando Rust, lo que podría eliminar este tipo de vulnerabilidades en futuros sistemas. Actualmente, el proceso de explotación de este tipo de vulnerabilidades no es muy difícil, y se basa principalmente en la filtración de la dirección del manejador del montón de escritorio. Para los sistemas más antiguos, esto sigue siendo un riesgo de seguridad.

Desde la perspectiva del descubrimiento de vulnerabilidades, una detección de cobertura de código más completa podría ayudar a identificar este tipo de vulnerabilidades. En cuanto a la detección de la explotación de vulnerabilidades, además de centrarse en los puntos clave de las funciones que desencadenan vulnerabilidades, también se debería realizar una detección específica de anomalías en la disposición de la memoria y la lectura/escritura de desviaciones anómalas de datos adicionales de clases de ventana, ya que esto podría ser una de las vías efectivas para identificar vulnerabilidades de tipo similar.