微软Windows系统存在严重0day漏洞,可能危及Web3安全

近期,微软发布的安全补丁中修复了一个正在被黑客利用的Windows系统提权漏洞。这个漏洞主要存在于早期Windows系统版本中,无法在Windows 11上触发。

这类win32k提权漏洞由来已久。在当前各种安全防护措施不断完善的背景下,攻击者如何继续利用这个漏洞值得关注。我们在Windows Server 2016环境下对这个漏洞进行了深入分析。

0day漏洞指尚未公开披露和修复的系统漏洞,可被黑客悄无声息地利用,具有极大的破坏性。通过这个Windows系统层面的0day漏洞,黑客可能获取系统的完全控制权。

一旦系统被黑客控制,后果包括但不限于个人信息泄露、系统崩溃数据丢失、财务损失、恶意软件植入等。对个人用户来说,加密货币私钥可能被窃取,数字资产被转移;从更大范围看,这个漏洞甚至可能影响整个基于Web2基础设施运行的Web3生态。

通过分析补丁代码,我们发现问题出在一个对象的引用计数被多处理了一次。参考早期源码注释可知,以前的代码只锁定了窗口对象,没有锁定窗口对象中的菜单对象,导致菜单对象可能被错误引用。

我们构造了一个特殊的多层嵌套菜单结构来触发这个漏洞。通过精心设计菜单属性和引用关系,可以在某些函数返回用户层时成功释放特定菜单对象,导致后续代码引用无效对象。

利用这个漏洞的关键在于如何控制cbwndextra参数为一个特别大的值。我们最终选择通过布局内存,控制相邻对象的内存数据来实现这一目标。

为了构建稳定的漏洞利用,我们设计了一种特殊的内存布局方式,包含连续的多个窗口对象和窗口类对象。通过释放和重新占用特定对象,可以实现对关键参数的控制。

在读写原语方面,我们使用GetMenuBarInfo()实现任意读,使用SetClassLongPtr()实现任意写。除了替换TOKEN的写入操作外,其他写入都是利用第一个窗口对象的class对象使用偏移来完成。

虽然微软正在尝试使用Rust重构win32k相关代码,但对于现有Windows系统,这类漏洞仍然构成严重威胁。漏洞利用过程相对简单,主要依赖于桌面堆句柄地址的泄露。

我们推测这个漏洞的发现可能得益于更完善的代码覆盖率检测技术。未来针对这类漏洞的检测,除了关注漏洞触发函数的关键点,还应该重视对异常内存布局和数据读写的检测。