微软Windows系统0day漏洞分析及利用

近期微软发布的安全补丁中修复了一个正被黑客利用的Windows提权漏洞。该漏洞主要影响早期Windows系统版本,无法在Windows 11上触发。

这类漏洞已存在多年,本文将探讨在当前安全防护措施不断加强的背景下,攻击者可能如何继续利用此类漏洞。以下分析基于Windows Server 2016环境完成。

0day漏洞是指尚未被公开和修复的漏洞,可被黑客在不被察觉的情况下恶意利用,具有极大的破坏性。此次发现的0day漏洞可让攻击者获取Windows系统的完全控制权,从而造成个人信息泄露、系统崩溃、数据丢失等严重后果。小到加密货币私钥被盗,大到可能影响整个Web3生态的安全。

补丁分析

分析补丁代码发现,主要修复了一个对象引用计数多处理的问题。通过早期源码注释可知,以前的代码只锁定了窗口对象,未锁定窗口中的菜单对象,可能导致菜单对象被错误引用。

漏洞复现

分析发现,传入xxxEnableMenuItem()的菜单通常已在上层函数中被锁定,但具体保护哪个菜单对象存在模糊。进一步分析发现,MenuItemState函数返回的菜单可能是窗口主菜单,也可能是子菜单或更深层级的菜单。

我们构造了一个特殊的多层级菜单结构来触发漏洞,包含特定ID类型的系统菜单,并对菜单间的引用关系做了特殊处理。最终在xxxRedrawTitle返回用户层时释放指定菜单对象,导致xxxEnableMenuItem函数后续引用无效对象。

漏洞利用

漏洞利用主要考虑两种方向:执行shellcode和利用读写原语修改token。综合分析后,我们选择了后者。

关键步骤包括:

1. 利用UAF漏洞控制cbwndextra的值
2. 实现稳定的读写原语

我们通过精心设计内存布局,利用窗口对象和HWNDClass对象构造了可控的读写原语。使用GetMenuBarInfo()实现任意读,SetClassLongPtr()实现任意写。最终可实现替换进程token等操作。

总结

1. 微软正在用Rust重构win32k相关代码,未来此类漏洞可能被杜绝。

2. 漏洞利用过程相对简单,主要依赖桌面堆句柄地址泄露。

3. 该漏洞的发现可能得益于更完善的代码覆盖率检测。

4. 对异常的内存布局和窗口数据读写的检测,有助于发现此类漏洞。