微軟Windows系統級0day漏洞分析:可完全控制系統

近期,微軟發布的安全補丁中修復了一個正在被惡意利用的Win32k提權漏洞。該漏洞只存在於早期Windows系統版本中,無法在Windows 11上觸發。本文將分析在當前安全防護不斷增強的背景下,攻擊者可能如何繼續利用這一漏洞。

漏洞背景

這是一個Windows系統層面的0day漏洞,黑客可通過該漏洞獲取Windows的完全控制權。被控制後的危害包括個人信息竊取、系統崩潰數據丟失、財務損失、惡意軟件植入等。小到私鑰被竊取和數字資產被轉移,大到可能影響整個基於Web2基礎設施運行的Web3生態。

補丁分析

分析補丁發現,這是一個對象引用計數被多處理的問題。通過早期源碼注釋可知,以前的代碼只鎖定了窗口對象,沒有鎖定窗口對象中的菜單對象,可能導致菜單對象被錯誤引用。

漏洞原理

進一步分析發現,傳入xxxEnableMenuItem()的菜單通常已在上層函數被鎖定。而xxxEnableMenuItem中的MenuItemState函數返回的菜單有兩種可能:窗口主菜單或菜單中的子菜單。

概念驗證(PoC)實現

PoC構造了一個特殊的四層菜單結構,並設置了一些特定條件來通過xxxEnableMenuItem函數中的檢測。關鍵步驟是在xxxRedrawTitle返回用戶層時,刪除菜單C和菜單B的引用關係並釋放菜單C。這樣在後續xxxEnableMenuItem函數中引用菜單C時,該對象已無效。

漏洞利用(Exp)實現

利用思路主要有兩種:執行shellcode代碼或利用讀寫原語修改token地址。考慮到兼容性,選擇了後者。整體分爲兩步:利用UAF漏洞控制cbwndextra值,然後建立穩定的讀寫原語。

關鍵點包括:

1. 通過窗口類名稱對象佔用釋放的菜單對象
2. 在xxxRedrawWindow函數中找到可寫入數據的位置
3. 構建穩定的內存布局,包括連續三個HWND對象
4. 使用GetMenuBarInfo()和SetClassLongPtr()實現讀寫原語

總結

1. 微軟正在用Rust重構Win32k相關代碼,未來該類漏洞可能被杜絕
2. 漏洞利用過程不太困難,主要依賴桌面堆句柄地址泄露
3. 漏洞發現可能依賴更完善的代碼覆蓋率檢測
4. 對異常內存布局和窗口數據讀寫的檢測有助於發現類似漏洞

這類漏洞雖然在新系統中逐步被修復,但對老舊系統仍是一個安全隱患。完善漏洞檢測和防護機制仍然重要。