Analyse et exploitation des vulnérabilités 0day du système Windows de Microsoft
Récemment, un correctif de sécurité publié par Microsoft a corrigé une vulnérabilité d'élévation de privilèges de Windows exploitée par des hackers. Cette vulnérabilité affecte principalement les anciennes versions de Windows et ne peut pas être déclenchée sur Windows 11.
Les vulnérabilités de ce type existent depuis de nombreuses années. Cet article examinera comment, dans le contexte actuel de renforcement des mesures de sécurité, les attaquants pourraient continuer à exploiter de telles vulnérabilités. L'analyse suivante est réalisée dans un environnement Windows Server 2016.
Les vulnérabilités 0day désignent des failles qui n'ont pas encore été rendues publiques et corrigées, pouvant être exploitées par des hackers de manière malveillante sans être détectées, et ayant un potentiel de destruction considérable. La vulnérabilité 0day récemment découverte permet aux attaquants d'obtenir un contrôle total sur le système Windows, entraînant ainsi des fuites d'informations personnelles, des pannes système, des pertes de données, et d'autres conséquences graves. Cela va du vol de clés privées de cryptomonnaies à des impacts potentiels sur la sécurité de l'ensemble de l'écosystème Web3.
Analyse de patch
L'analyse du code de correctif révèle qu'il corrige principalement un problème de traitement multiple du comptage de références d'objet. D'après les commentaires dans le code source antérieur, le code précédent ne verrouillait que l'objet de la fenêtre, sans verrouiller l'objet du menu dans la fenêtre, ce qui pouvait entraîner une référence incorrecte à l'objet du menu.
Répétition de la vulnérabilité
L'analyse révèle que le menu passé à xxxEnableMenuItem() est généralement verrouillé dans une fonction supérieure, mais la protection spécifique de quel objet de menu reste floue. Une analyse plus approfondie montre que le menu retourné par la fonction MenuItemState peut être le menu principal de la fenêtre, un sous-menu ou un menu à un niveau plus profond.
Nous avons construit une structure de menu multi-niveaux spéciale pour déclencher des vulnérabilités, comprenant des menus système de types d'ID spécifiques, et avons traité de manière spéciale les relations de référence entre les menus. Finalement, lors du retour de xxxRedrawTitle à la couche utilisateur, l'objet de menu spécifié est libéré, ce qui entraîne une référence à un objet invalide dans la fonction xxxEnableMenuItem.
Exploitation de vulnérabilité
L'exploitation des vulnérabilités considère principalement deux directions : l'exécution de shellcode et l'utilisation des primitives de lecture/écriture pour modifier le token. Après une analyse complète, nous avons choisi cette dernière.
Les étapes clés comprennent :
Utiliser la vulnérabilité UAF pour contrôler la valeur de cbwndextra
Mettre en œuvre des primitives de lecture-écriture stables
Nous avons conçu une mise en mémoire soigneusement, en utilisant des objets de fenêtre et des objets HWNDClass pour construire des primitives de lecture et d'écriture contrôlables. L'utilisation de GetMenuBarInfo() permet de réaliser des lectures arbitraires, et SetClassLongPtr() permet d'effectuer des écritures arbitraires. Finalement, cela permet de remplacer le token de processus et d'autres opérations.
Résumé
Microsoft est en train de réécrire le code lié à win32k en Rust, ce qui pourrait éliminer ce type de vulnérabilités à l'avenir.
Le processus d'exploitation des vulnérabilités est relativement simple, reposant principalement sur la fuite de l'adresse du handle de la pile de bureau.
La découverte de cette vulnérabilité pourrait être due à une détection de couverture de code plus complète.
La détection des anomalies dans la disposition de la mémoire et la lecture/écriture des données de la fenêtre aide à identifier de telles vulnérabilités.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
7
Partager
Commentaire
0/400
LayerZeroHero
· Il y a 13h
La mise à niveau vers 11 est devenue plus stable.
Voir l'originalRépondre0
YieldWhisperer
· 07-31 00:49
Il est nécessaire de renforcer la surveillance des anciens systèmes.
Voir l'originalRépondre0
OnlyOnMainnet
· 07-31 00:48
La crise du portefeuille numérique
Voir l'originalRépondre0
governance_ghost
· 07-31 00:47
La protection des clés privées doit être renforcée.
Voir l'originalRépondre0
BakedCatFanboy
· 07-31 00:45
Mettez à jour le système, tout le monde.
Voir l'originalRépondre0
AlphaLeaker
· 07-31 00:42
Attention à bien protéger la sécurité de la Clé privée
Voir l'originalRépondre0
GraphGuru
· 07-31 00:36
Système de confiance zéro pour assurer les points.
Vulnérabilité d'élévation de privilèges 0day de Windows : la sécurité des Portefeuilles de chiffrement fait face à une nouvelle menace
Analyse et exploitation des vulnérabilités 0day du système Windows de Microsoft
Récemment, un correctif de sécurité publié par Microsoft a corrigé une vulnérabilité d'élévation de privilèges de Windows exploitée par des hackers. Cette vulnérabilité affecte principalement les anciennes versions de Windows et ne peut pas être déclenchée sur Windows 11.
Les vulnérabilités de ce type existent depuis de nombreuses années. Cet article examinera comment, dans le contexte actuel de renforcement des mesures de sécurité, les attaquants pourraient continuer à exploiter de telles vulnérabilités. L'analyse suivante est réalisée dans un environnement Windows Server 2016.
Les vulnérabilités 0day désignent des failles qui n'ont pas encore été rendues publiques et corrigées, pouvant être exploitées par des hackers de manière malveillante sans être détectées, et ayant un potentiel de destruction considérable. La vulnérabilité 0day récemment découverte permet aux attaquants d'obtenir un contrôle total sur le système Windows, entraînant ainsi des fuites d'informations personnelles, des pannes système, des pertes de données, et d'autres conséquences graves. Cela va du vol de clés privées de cryptomonnaies à des impacts potentiels sur la sécurité de l'ensemble de l'écosystème Web3.
Analyse de patch
L'analyse du code de correctif révèle qu'il corrige principalement un problème de traitement multiple du comptage de références d'objet. D'après les commentaires dans le code source antérieur, le code précédent ne verrouillait que l'objet de la fenêtre, sans verrouiller l'objet du menu dans la fenêtre, ce qui pouvait entraîner une référence incorrecte à l'objet du menu.
Répétition de la vulnérabilité
L'analyse révèle que le menu passé à xxxEnableMenuItem() est généralement verrouillé dans une fonction supérieure, mais la protection spécifique de quel objet de menu reste floue. Une analyse plus approfondie montre que le menu retourné par la fonction MenuItemState peut être le menu principal de la fenêtre, un sous-menu ou un menu à un niveau plus profond.
Nous avons construit une structure de menu multi-niveaux spéciale pour déclencher des vulnérabilités, comprenant des menus système de types d'ID spécifiques, et avons traité de manière spéciale les relations de référence entre les menus. Finalement, lors du retour de xxxRedrawTitle à la couche utilisateur, l'objet de menu spécifié est libéré, ce qui entraîne une référence à un objet invalide dans la fonction xxxEnableMenuItem.
Exploitation de vulnérabilité
L'exploitation des vulnérabilités considère principalement deux directions : l'exécution de shellcode et l'utilisation des primitives de lecture/écriture pour modifier le token. Après une analyse complète, nous avons choisi cette dernière.
Les étapes clés comprennent :
Nous avons conçu une mise en mémoire soigneusement, en utilisant des objets de fenêtre et des objets HWNDClass pour construire des primitives de lecture et d'écriture contrôlables. L'utilisation de GetMenuBarInfo() permet de réaliser des lectures arbitraires, et SetClassLongPtr() permet d'effectuer des écritures arbitraires. Finalement, cela permet de remplacer le token de processus et d'autres opérations.
Résumé
Microsoft est en train de réécrire le code lié à win32k en Rust, ce qui pourrait éliminer ce type de vulnérabilités à l'avenir.
Le processus d'exploitation des vulnérabilités est relativement simple, reposant principalement sur la fuite de l'adresse du handle de la pile de bureau.
La découverte de cette vulnérabilité pourrait être due à une détection de couverture de code plus complète.
La détection des anomalies dans la disposition de la mémoire et la lecture/écriture des données de la fenêtre aide à identifier de telles vulnérabilités.