微軟Windows系統0day漏洞分析:可能對Web3生態造成重大影響

上個月微軟安全補丁中包含一個在野利用的win32k提權漏洞。該漏洞似乎不能在Windows 11系統版本上觸發,僅存在於早期系統。本文將分析在當前新緩解措施不斷改善的背景下,攻擊者可能如何繼續利用這個漏洞。分析過程在Windows Server 2016環境下完成。

0day漏洞是指未被披露和修補的漏洞,可被攻擊者在未被察覺的情況下惡意利用,往往具備極大的破壞性。本次發現的0day漏洞存在於Windows系統層面,黑客可通過該漏洞獲取Windows的完全控制權。這可能導致個人信息竊取、系統崩潰數據丟失、財務損失、惡意軟件植入等後果。從Web3角度來看,用戶的私鑰可能被竊取,數字資產被轉移。更大範圍內,這個漏洞甚至可能影響基於Web2基礎設施運行的整個Web3生態。

分析補丁發現,問題出在一個對象的引用計數被多處理了一次。通過早期源碼注釋可以看出,以前的代碼只是鎖定了窗口對象,沒有鎖定窗口對象中的菜單對象,這裏菜單對象可能被錯誤引用。

爲驗證漏洞,我們實現了一個概念驗證(PoC)。通過構造特殊的多層嵌套菜單,可以在xxxEnableMenuItem函數中觸發漏洞。關鍵是要在合適的時機刪除菜單C和菜單B的引用關係,成功釋放菜單C對象。這樣在xxxEnableMenuItem函數返回時,即將引用的菜單C對象已經無效。

在實現漏洞利用(Exp)時,我們主要考慮了兩種方案:執行shellcode代碼和利用讀寫原語修改token地址。最終選擇了後者,因爲這種方法在最近兩年仍有公開的exp可參考。整個利用過程分爲兩步:首先利用UAF漏洞控制cbwndextra的值,然後建立穩定的讀寫原語。

通過精心設計內存布局,我們可以實現對目標對象的精確控制。利用GetMenuBarInfo()和SetClassLongPtr()函數分別實現任意讀和任意寫原語。除了替換TOKEN的寫入操作依賴第二個窗口的class對象外,其他寫入都利用第一個窗口對象的class對象使用偏移來寫入。

總的來說,雖然win32k漏洞由來已久,但微軟正在嘗試使用Rust重構該部分內核代碼,未來新系統中可能會杜絕此類漏洞。目前這類漏洞的利用過程基本不太困難,主要依賴桌面堆句柄地址的泄露。對於老舊系統來說,這仍然是一個不安全的隱患。

從漏洞發現的角度看,更完善的代碼覆蓋率檢測可能有助於發現此類漏洞。對於漏洞利用檢測而言,除了關注漏洞觸發函數的關鍵點,還應該對內存布局異常和窗口類額外數據的異常偏移讀寫進行針對性檢測,這可能是發現同類型漏洞的有效途徑之一。