微軟Windows系統嚴重漏洞分析:可完全控制系統並威脅Web3安全

上個月微軟發布的安全補丁中修復了一個正被黑客利用的Windows系統提權漏洞。這個漏洞主要存在於早期Windows版本中,無法在Windows 11上觸發。

這類Windows系統底層漏洞長期存在,本文將分析在當前安全防護不斷加強的背景下,黑客可能如何繼續利用這個漏洞。我們的分析環境是Windows Server 2016。

這個漏洞屬於零日漏洞,即未公開且未修復的漏洞。零日漏洞被發現後可以在用戶無感知的情況下被惡意利用,具有極大破壞性。通過這個Windows系統漏洞,黑客可以獲得系統的完全控制權。

被黑客控制系統後果嚴重,包括個人信息被竊取、系統崩潰數據丟失、財務損失、惡意軟件植入等。對個人用戶來說,加密貨幣私鑰可能被竊取,數字資產被轉移。從更大範圍看,這個漏洞可能危及依賴Web2基礎設施運行的Web3項目。

分析補丁代碼,問題似乎是一個對象的引用計數被多處理了一次。根據早期win32k源碼注釋,原先的代碼只鎖定了窗口對象,沒有鎖定窗口對象中的菜單對象,導致菜單對象可能被錯誤引用。

實現漏洞概念驗證(PoC)時,我們發現xxxEnableMenuItem函數中對菜單對象的處理存在問題。返回的菜單可能是窗口主菜單,也可能是子菜單甚至子子菜單。我們構造了一個特殊的四層菜單結構來觸發漏洞。

在利用(Exp)構建前,我們主要考慮了兩個方向:執行shellcode代碼和利用讀寫原語修改token地址。考慮到可行性,我們選擇了後者。整個利用過程分爲兩步:利用UAF漏洞控制cbwndextra值,然後建立穩定的讀寫原語。

爲實現第一次數據寫入,我們利用窗口類WNDClass中的窗口名稱對象佔用釋放的菜單對象。通過精心構造內存布局,我們可以控制相鄰對象的內存數據,從而修改HWNDClass的cb-extra值。

我們設計了連續三個HWND對象的內存布局,釋放中間對象後用HWNDClass對象佔用。前一個HWND對象用於通過函數檢驗,後一個用於最終讀寫原語。通過泄露的內核句柄地址,我們可以精確控制對象排列順序。

在讀寫原語方面,我們使用GetMenuBarInfo()實現任意讀,SetClassLongPtr()實現任意寫。除token寫入外,其他寫入都利用第一個窗口對象的class對象偏移實現。

總的來說,雖然Windows 11預覽版已開始用Rust重構win32k代碼,但對老系統來說這類漏洞仍是安全隱患。漏洞利用過程相對簡單,主要依賴桌面堆句柄地址泄露。該漏洞的發現可能得益於更完善的代碼覆蓋率檢測。對於漏洞檢測,除了關注觸發函數關鍵點,還應關注異常的內存布局和數據讀寫操作。