微软Windows系统级0day漏洞分析:可完全控制系统

近期,微软发布的安全补丁中修复了一个正在被恶意利用的Win32k提权漏洞。该漏洞只存在于早期Windows系统版本中,无法在Windows 11上触发。本文将分析在当前安全防护不断增强的背景下,攻击者可能如何继续利用这一漏洞。

漏洞背景

这是一个Windows系统层面的0day漏洞,黑客可通过该漏洞获取Windows的完全控制权。被控制后的危害包括个人信息窃取、系统崩溃数据丢失、财务损失、恶意软件植入等。小到私钥被窃取和数字资产被转移,大到可能影响整个基于Web2基础设施运行的Web3生态。

补丁分析

分析补丁发现,这是一个对象引用计数被多处理的问题。通过早期源码注释可知,以前的代码只锁定了窗口对象,没有锁定窗口对象中的菜单对象,可能导致菜单对象被错误引用。

漏洞原理

进一步分析发现,传入xxxEnableMenuItem()的菜单通常已在上层函数被锁定。而xxxEnableMenuItem中的MenuItemState函数返回的菜单有两种可能:窗口主菜单或菜单中的子菜单。

概念验证(PoC)实现

PoC构造了一个特殊的四层菜单结构,并设置了一些特定条件来通过xxxEnableMenuItem函数中的检测。关键步骤是在xxxRedrawTitle返回用户层时,删除菜单C和菜单B的引用关系并释放菜单C。这样在后续xxxEnableMenuItem函数中引用菜单C时,该对象已无效。

漏洞利用(Exp)实现

利用思路主要有两种:执行shellcode代码或利用读写原语修改token地址。考虑到兼容性,选择了后者。整体分为两步:利用UAF漏洞控制cbwndextra值,然后建立稳定的读写原语。

关键点包括:

1. 通过窗口类名称对象占用释放的菜单对象
2. 在xxxRedrawWindow函数中找到可写入数据的位置
3. 构建稳定的内存布局,包括连续三个HWND对象
4. 使用GetMenuBarInfo()和SetClassLongPtr()实现读写原语

总结

1. 微软正在用Rust重构Win32k相关代码,未来该类漏洞可能被杜绝
2. 漏洞利用过程不太困难,主要依赖桌面堆句柄地址泄露
3. 漏洞发现可能依赖更完善的代码覆盖率检测
4. 对异常内存布局和窗口数据读写的检测有助于发现类似漏洞

这类漏洞虽然在新系统中逐步被修复,但对老旧系统仍是一个安全隐患。完善漏洞检测和防护机制仍然重要。