微軟Windows系統0day漏洞分析及利用

近期微軟發布的安全補丁中修復了一個正被黑客利用的Windows提權漏洞。該漏洞主要影響早期Windows系統版本,無法在Windows 11上觸發。

這類漏洞已存在多年,本文將探討在當前安全防護措施不斷加強的背景下,攻擊者可能如何繼續利用此類漏洞。以下分析基於Windows Server 2016環境完成。

0day漏洞是指尚未被公開和修復的漏洞,可被黑客在不被察覺的情況下惡意利用,具有極大的破壞性。此次發現的0day漏洞可讓攻擊者獲取Windows系統的完全控制權,從而造成個人信息泄露、系統崩潰、數據丟失等嚴重後果。小到加密貨幣私鑰被盜,大到可能影響整個Web3生態的安全。

補丁分析

分析補丁代碼發現,主要修復了一個對象引用計數多處理的問題。通過早期源碼注釋可知,以前的代碼只鎖定了窗口對象,未鎖定窗口中的菜單對象,可能導致菜單對象被錯誤引用。

漏洞復現

分析發現,傳入xxxEnableMenuItem()的菜單通常已在上層函數中被鎖定,但具體保護哪個菜單對象存在模糊。進一步分析發現,MenuItemState函數返回的菜單可能是窗口主菜單,也可能是子菜單或更深層級的菜單。

我們構造了一個特殊的多層級菜單結構來觸發漏洞,包含特定ID類型的系統菜單,並對菜單間的引用關係做了特殊處理。最終在xxxRedrawTitle返回用戶層時釋放指定菜單對象,導致xxxEnableMenuItem函數後續引用無效對象。

漏洞利用

漏洞利用主要考慮兩種方向:執行shellcode和利用讀寫原語修改token。綜合分析後,我們選擇了後者。

關鍵步驟包括:

1. 利用UAF漏洞控制cbwndextra的值
2. 實現穩定的讀寫原語

我們通過精心設計內存布局,利用窗口對象和HWNDClass對象構造了可控的讀寫原語。使用GetMenuBarInfo()實現任意讀,SetClassLongPtr()實現任意寫。最終可實現替換進程token等操作。

總結

1. 微軟正在用Rust重構win32k相關代碼,未來此類漏洞可能被杜絕。

2. 漏洞利用過程相對簡單,主要依賴桌面堆句柄地址泄露。

3. 該漏洞的發現可能得益於更完善的代碼覆蓋率檢測。

4. 對異常的內存布局和窗口數據讀寫的檢測,有助於發現此類漏洞。