微软Windows系统严重漏洞分析:可完全控制系统并威胁Web3安全

上个月微软发布的安全补丁中修复了一个正被黑客利用的Windows系统提权漏洞。这个漏洞主要存在于早期Windows版本中,无法在Windows 11上触发。

这类Windows系统底层漏洞长期存在,本文将分析在当前安全防护不断加强的背景下,黑客可能如何继续利用这个漏洞。我们的分析环境是Windows Server 2016。

这个漏洞属于零日漏洞,即未公开且未修复的漏洞。零日漏洞被发现后可以在用户无感知的情况下被恶意利用,具有极大破坏性。通过这个Windows系统漏洞,黑客可以获得系统的完全控制权。

被黑客控制系统后果严重,包括个人信息被窃取、系统崩溃数据丢失、财务损失、恶意软件植入等。对个人用户来说,加密货币私钥可能被窃取,数字资产被转移。从更大范围看,这个漏洞可能危及依赖Web2基础设施运行的Web3项目。

分析补丁代码,问题似乎是一个对象的引用计数被多处理了一次。根据早期win32k源码注释,原先的代码只锁定了窗口对象,没有锁定窗口对象中的菜单对象,导致菜单对象可能被错误引用。

实现漏洞概念验证(PoC)时,我们发现xxxEnableMenuItem函数中对菜单对象的处理存在问题。返回的菜单可能是窗口主菜单,也可能是子菜单甚至子子菜单。我们构造了一个特殊的四层菜单结构来触发漏洞。

在利用(Exp)构建前,我们主要考虑了两个方向:执行shellcode代码和利用读写原语修改token地址。考虑到可行性,我们选择了后者。整个利用过程分为两步:利用UAF漏洞控制cbwndextra值,然后建立稳定的读写原语。

为实现第一次数据写入,我们利用窗口类WNDClass中的窗口名称对象占用释放的菜单对象。通过精心构造内存布局,我们可以控制相邻对象的内存数据,从而修改HWNDClass的cb-extra值。

我们设计了连续三个HWND对象的内存布局,释放中间对象后用HWNDClass对象占用。前一个HWND对象用于通过函数检验,后一个用于最终读写原语。通过泄露的内核句柄地址,我们可以精确控制对象排列顺序。

在读写原语方面,我们使用GetMenuBarInfo()实现任意读,SetClassLongPtr()实现任意写。除token写入外,其他写入都利用第一个窗口对象的class对象偏移实现。

总的来说,虽然Windows 11预览版已开始用Rust重构win32k代码,但对老系统来说这类漏洞仍是安全隐患。漏洞利用过程相对简单,主要依赖桌面堆句柄地址泄露。该漏洞的发现可能得益于更完善的代码覆盖率检测。对于漏洞检测,除了关注触发函数关键点,还应关注异常的内存布局和数据读写操作。