Аналіз уразливості 0day системи Windows від Microsoft: може мати значний вплив на екосистему Web3

Минулого місяця оновлення безпеки Microsoft містило вразливість підвищення привілеїв win32k, яка використовується в диких умовах. Здається, що ця вразливість не може бути активована на версії системи Windows 11, вона існує лише в ранніх системах. У цій статті буде проаналізовано, як зловмисники можуть продовжувати використовувати цю вразливість на фоні постійного покращення нових заходів пом'якшення. Процес аналізу було завершено в середовищі Windows Server 2016.

0day вразливість – це вразливість, яка не була розкрита і виправлена, її можуть зловмисники використовувати на невідстежуваних умовах, часто вона має величезний руйнівний потенціал. Виявлена 0day вразливість існує на рівні системи Windows, хакери можуть отримати повний контроль над Windows через цю вразливість. Це може призвести до крадіжки особистої інформації, збоїв системи, втрати даних, фінансових втрат, впровадження шкідливого програмного забезпечення тощо. З точки зору Web3, приватні ключі користувачів можуть бути вкрадені, цифрові активи можуть бути переведені. В більш широкому масштабі, ця вразливість навіть може вплинути на всю екосистему Web3, що працює на основі інфраструктури Web2.

Аналіз патчу виявив, що проблема полягає в тому, що лічильник посилань на один об'єкт оброблявся занадто багато разів. З ранніх коментарів до коду видно, що раніше код лише блокував об'єкт вікна, не блокуючи об'єкт меню, що знаходиться у вікні; тут об'єкт меню може бути неправильно посилений.

Для перевірки вразливості ми реалізували концептуальний доказ (PoC). Створивши спеціальне багатошарове вкладене меню, можна викликати вразливість у функції xxxEnableMenuItem. Ключовим моментом є видалення зв'язку між меню C та меню B у відповідний момент, що дозволяє успішно звільнити об'єкт меню C. Таким чином, коли функція xxxEnableMenuItem повертається, об'єкт меню C, на який посилаються, вже недійсний.

При реалізації експлуатації вразливості (Exp) ми в основному розглянули два варіанти: виконання коду shellcode та використання операцій читання/запису для зміни адреси токена. Врешті-решт, ми вибрали останній варіант, оскільки цей метод має публічний експлойти, на які можна посилатися, протягом останніх двох років. Весь процес експлуатації поділяється на два етапи: спочатку використання вразливості UAF для контролю значення cbwndextra, а потім створення стабільних операцій читання/запису.

Шляхом ретельного проектування розташування пам'яті, ми можемо досягти точного контролю над цільовим об'єктом. Використовуючи функції GetMenuBarInfo() та SetClassLongPtr(), ми реалізуємо довільне читання та довільне записування примітивів. Окрім запису, що замінює TOKEN, який залежить від класу другого вікна, інші записи здійснюються за допомогою класу об'єкта першого вікна з використанням зміщення.

![Numen ексклюзив: вразливість Microsoft 0day може зруйнувати Web3 гру на системному + фізичному рівнях](https://img-cdn.gateio.im/webp-social/moments-1cc94ddafacec491507491eef9195858.webp01

![Numen ексклюзив: уразливість 0day Microsoft може зруйнувати Web3 гру на системному та фізичному рівнях])https://img-cdn.gateio.im/webp-social/moments-697c5814db02534f63b44c0d1d692f83.webp(

В цілому, хоча вразливість win32k існує вже давно, Microsoft намагається переписати цю частину коду ядра за допомогою Rust, що в майбутньому може усунути подібні вразливості в нових системах. На сьогоднішній день процес експлуатації таких вразливостей в основному не є складним і в значній мірі залежить від витоку адрес десктопних ручок стеку. Для старих систем це все ще є небезпечною загрозою.

![Numen ексклюзив: уразливість Microsoft 0day може зламати Web3 гру на системному + фізичному рівнях])https://img-cdn.gateio.im/webp-social/moments-b0942592135ac96c6279544a62022329.webp(

З точки зору виявлення вразливостей, більш досконале виявлення покриття коду може допомогти виявити такі вразливості. Щодо виявлення експлуатації вразливостей, крім фокусування на ключових точках функцій, що викликають вразливість, також слід здійснювати цілеспрямоване виявлення аномальних зсувів читання/запису в розташуванні пам'яті та додаткових даних класу вікна, що може бути одним із ефективних шляхів виявлення вразливостей одного типу.

![Numen ексклюзив: уразливість Microsoft 0day може зламати Web3 гру на системному та фізичному рівнях])https://img-cdn.gateio.im/webp-social/moments-b06b098af4f07260fdc03a75da160706.webp(