الأمن

تحديث أمني يوم الثلاثاء ← استغلال يوم الأربعاء: اختراق برنامج تشغيل دوال Windows الإضافية الخاصة بواجهة WinSock (afd.sys) خلال 24 ساعة

رسم توضيحي لمكتب خصوصية وتكنولوجيا مسؤولة يُظهر درع الخصوصية

المؤلفون

Valentina Palmiotti

Head of X-Force Offensive Research (XOR)

IBM

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

'تحديث أمني يوم الثلاثاء، واستغلال يوم الأربعاء' هي مقولة قديمة عن حوادث الاختراق تشير إلى استغلال الثغرات الأمنية في اليوم التالي لإصدار تحديثات الأمان الشهرية. مع تحسن الأمن وزيادة تطور إجراءات الحد من الاستغلال، ازدادت أعمال البحث والتطوير المطلوبة لإنشاء حوادث استغلال فعالة. وهذا مهم بشكل خاص للثغرات الأمنية المتعلقة بتلف الذاكرة.

لقطة شاشة مأخوذة لمنشور المدونة

الشكل 1 — الجدول الزمني للاستغلال

ومع ذلك، مع إضافة مزايا جديدة (وكود C غير الآمن للذاكرة) في نواة Windows 11، يمكن ظهور نطاقات هجوم جديدة سهلة الاستغلال. ومن خلال التركيز على هذا الكود الذي أُضيف حديثًا، نوضح أن الثغرات الأمنية التي يمكن استغلالها بسهولة لا تزال تظهر بشكل متكرر. في منشور المدونة هذا، نعمل على تحليل واستغلال ثغرة أمنية في برنامج تشغيل دوال Windows الإضافية الخاصة بواجهة WinSock، afd.sys، بهدف زيادة الامتيازات المحلية (LPE) على Windows 11. وعلى الرغم من أنه لم يكن لدى أي منا أي خبرة سابقة في استخدام وحدة النواة هذه، إلا أننا تمكنا من تشخيص الثغرة الأمنية وإعادة إنتاجها واستغلالها في غضون يوم واحد تقريبًا. يمكنك العثور على كود الاستغلال من هنا.

تغييرات التحديث الأمني وتحليل الأسباب الأساسية

بناءً على تفاصيل CVE-2023-21768 التي نشرها مركز الاستجابة الأمنية في Microsoft (MSRC)، فإن الثغرة الأمنية موجودة في برنامج تشغيل الدوال الإضافية (AFD)، والذي يحمل ملفه الثنائي اسم afd.sys. وحدة AFD هي نقطة دخول النواة الخاصة بواجهة برمجية التطبيقات Winsock. وباستخدام هذه المعلومات، حللنا إصدار برنامج التشغيل الذي صدر في ديسمبر 2022 وأجرينا مقارنة بينه وبين الإصدار الجديد الذي صدر في يناير 2023. يمكن الحصول على كل عينة من هذه العينات من Winbindex من دون الحاجة إلى إجراء عملية استخراج التغييرات من تحديثات Microsoft الأمنية التي تستغرق وقتًا طويلاً. فيما يلي الإصداران اللذان جرى تحليلهما.

  • AFD.sys / Windows 11 22H2 / 10.0.22621.608 (ديسمبر 2022)
  • AFD.sys / Windows 11 22H2 / 10.0.22621.1105 (يناير 2023)

استُخدمت أداةGhidra لإنشاء ملفات تصدير ثنائية لكلا الملفين حتى يمكن مقارنتهما باستخدام BinDiff. فيما يلي نظرة عامة على الدوال المتطابقة.

لقطة شاشة مأخوذة للمقارنة الثنائية لملف AFD.sys

الشكل 2 — مقارنة ثنائية لملف AFD.sys

تبين أن دالة واحدة فقط قد تغيرت، afd!AfdNotifyRemoveIoCompletion . وقد أدى هذا إلى تسريع تحليلنا للثغرة الأمنية بشكل كبير. ثم أجرينا مقارنة بين الدالتين. تُظهر لقطة الشاشة أدناه الكود المتغير قبل التحديث الأمني وبعده عند النظر إلى الكود المفكك في Binary Ninja.

ما قبل التحديث الأمني، afd.sys version 10.0.22621.608 .

لقطة شاشة مأخوذة لمنشور المدونة

الشكل 3 — ما قبل تحديث afd!AfdNotifyRemoveIoCompletion

ما بعد التحديث الأمني، إصدار afd.sys 10.0.22621.1105.

لقطة شاشة مأخوذة لمنشور المدونة

الشكل 4 — ما بعد تحديث afd!AfdNotifyRemoveIoCompletion

هذا التغيير الموضح أعلاه هو التحديث الوحيد للدالة المحددة. أظهرت بعض التحليلات السريعة أن هناك فحص يُجرى بناءً على PreviousMode . إذا كانت قيمة PreviousMode تساوي صفر (ما يشير إلى أن الاستدعاء صادر من النواة)، تُكتب القيمة إلى المؤشر المحدد بواسطة حقل في بنية غير معروفة. من ناحية أخرى، إذا كانت قيمة PreviousMode ليست صفرًا، فعندئذٍ، يُجرى استدعاء ProbeForWrite للتأكد من أن المؤشر المحدد في الحقل هو عنوان صالح موجود في وضع المستخدم.

وهذا الفحص غير موجود في إصدار ما قبل التحديث الأمني لبرنامج التشغيل. ونظرًا إلى أن الدالة بها عبارة تبديل محددة من أجل PreviousMode ، فمن المفترض أن المطور كان ينوي إضافة هذا الفحص ولكنه نسي (جميعنا نحتاج إلى شرب القهوة للتركيز أحيانًا ☕!).

من هذا التحديث، يمكننا استنتاج أنه يمكن للمهاجم الوصول إلى مسار الكود هذا بقيمة مضبوطة علىfield_0x18 ضمن البنية غير المعروفة. إذا تمكن المهاجم من ملء هذا الحقل بعنوان نواة، فمن الممكن إنشاء بيانات بدائية للكتابة العشوائية في أي مكان داخل النواة. في هذه المرحلة، لا يكون واضحًا ما القيمة التي تُكتب، ولكن من المحتمل أن تُستخدم أي قيمة كبيانات بدائية لزيادة الامتيازات المحلية.

يحتوي النموذج الأولي للدالة نفسه على كل من قيمة PreviousMode ومؤشر للبنية غير المعروفة كالوسيطات الأولى والثالثة على التوالي.

لقطة شاشة مأخوذة للنموذج الأولي للدالة afd!AfdNotifyRemoveIoCompletion

الشكل 5 — النموذج الأولي للدالة afd!AfdNotifyRemoveIoCompletion

الهندسة العكسية

نحن نعرف الآن موقع الثغرة الأمنية، ولكننا لا نعرف كيفية تشغيل عملية تنفيذ مسار الكود الذي يحتوي على الثغرة. سننفذ ببعض أعمال الهندسة العكسية قبل أن نبدأ في العمل على إثبات المفهوم (PoC).

أولاً، تتبعنا الدالة التي تحتوي على الثغرة لمعرفة مكان وكيفية استخدامها.

لقطة شاشة مأخوذة للإحالات التتبعية للدالة afd!AfdNotifyRemoveIoCompletion

الشكل 6 — الإحالات التتبعية للدالة afd!AfdNotifyRemoveIoCompletion

يُجرى استدعاء واحد للدالة التي تحتوي على الثغرة في afd!AfdNotifySock .

نكرر العملية بحثًا عن الإحالات المرجعية فيما يخص AfdNotifySock . نكتشف أنه لا توجد أية استدعاءات مباشرة للدالة، ولكن عنوانها يظهر فوق جدول مؤشرات الدوال المسمى AfdIrpCallDispatch .

لقطة شاشة مأخوذة للدالة afd!AfdIrpCallDispatch

الشكل 7 — afd!AfdIrpCallDispatch

يحتوي هذا الجدول على إجراءات الإرسال الروتينية لبرنامج تشغيل AFD. تُستخدم إجراءات الإرسال الروتينية لمعالجة الطلبات الواردة من تطبيقات Win32 عن طريق استدعاء DeviceIoControl. يمكن العثور على كود التحكم لكل دالة في AfdIoctlTable .

لكن، لم يكن المؤشر المذكور أعلاه ضمن جدول AfdIrpCallDispatch  كما توقعنا. من شرائح محاضرة Recon التي قدمها Steven Vittitoe ، اكتشفنا أنه يوجد في الواقع جدولي إرسال لبرنامج تشغيل AFD. الثاني هو AfdImmediateCallDispatch . من خلال حساب المسافة بين بداية هذا الجدول ومكان تخزين مؤشر AfdNotifySock  ، يمكننا حساب المؤشر في AfdIoctlTable  والذي يوضح أن كود التحكم الخاص بالدالة هو 0x12127 .

لقطة شاشة مأخوذة للدالة afd!AfdIoctlTable

الشكل 8 — afd!AfdIoctlTable

من الجدير بالذكر أن هذا هو آخر كود للتحكم في الإدخال/الإخراج (IOCTL) في الجدول، ما يشير إلى أن AfdNotifySock هي على الأرجح دالة إرسال جديدة أُضيفت مؤخرًا إلى برنامج تشغيل AFD.

في هذه المرحلة، كان أمامنا خياران. يمكننا إما إجراء هندسة عكسية لواجهة برمجة تطبيقات Winsock المقابلة في مساحة المستخدم لفهم كيفية استدعاء دالة النواة الأساسية بشكل أفضل، أو إجراء هندسة عكسية لكود النواة واستدعائها مباشرةً. لكن في الواقع، لم نكن نعرف دالة Winsock التي تقابل AfdNotifySock ، لذلك اخترنا تنفيذ الخيار الثاني.

لقد عثرنا على كود نشره x86matthew ينفذ عمليات المقبس عن طريق استدعاء برنامج تشغيل AFD مباشرةً، متجاهلاً مكتبة Winsock. وهذا أمر مثير للاهتمام من منظور التخفي، ولكن بالنسبة إلى أغراضنا، يُعد قالبًا جيدًا لإنشاء معرّف لمقبس TCP لتقديم طلبات IOCTL إلى برنامج تشغيل AFD. وبفضل ذلك، تمكنا من الوصول إلى الدالة المستهدفة، كما يتضح من خلال الوصول إلى نقطة التوقف المحددة في WinDbg في أثناء تصحيح أخطاء النواة.

لقطة شاشة مأخوذة لنقطة توقف afd!AfdNotifySock

الشكل 9 — نقطة توقف afd!AfdNotifySock

والآن، لنعد إلى النموذج الأولي لدالة DeviceIoControl ، والتي من خلالها نستدعي برنامج تشغيل AFD من مساحة المستخدم. أحد المعلمات، وهو lpInBuffer ، يمثل مخزنًا مؤقتًا في وضع المستخدم. كما ذكرنا في القسم السابق، تظهر الثغرة الأمنية لأن المستخدم يمكنه تمرير مؤشر غير صالح إلى برنامج التشغيل داخل بنية بيانات غير معروفة. تُمرر هذه البنية مباشرة من تطبيق وضع المستخدم عبر معامل lpInBuffer. وتُمرر إلى AfdNotifySock  كمعلمة رابعة، وإلى AfdNotifyRemoveIoCompletion  كمعلمة ثالثة.

في هذه المرحلة، لا نعرف كيفية ملء البيانات في lpInBuffer، والتي سنسميها AFD_NOTIFYSOCK_STRUCT ، من أجل اجتياز عمليات الفحص المطلوبة للوصول إلى مسار الكود الذي يحتوي على الثغرة في AfdNotifyRemoveIoCompletion . تشمل بقية عملية الهندسة العكسية متابعة مسار التنفيذ وفحص كيفية الوصول إلى الكود الذي يحتوي على الثغرة.

دعونا نلقي نظرة على كل فحص.

الفحص الأول الذي نجريه يكون في بداية AfdNotifySock :

لقطة شاشة مأخوذة لفحص حجم afd!AfdNotifySock

الشكل 10 — فحص حجم afd!AfdNotifySock

يخبرنا هذا الفحص أن حجم AFD_NOTIFYSOCK_STRUCT  يجب أن يساوي 0x30  من وحدات البايت، وإلا فستفشل الدالة في STATUS_INFO_LENGTH_MISMATCH .

يتحقق الفحص التالي من صحة القيم الموجودة في الحقول المختلفة في البنية:

مأخوذة للتحقق من صحة بنية afd!AfdNotifySock

الشكل 11 — التحقق من صحة بنية afd!AfdNotifySock

في ذلك الوقت، لم نكن نعرف ما يقابل أي من الحقول، لذلك مررنا مصفوفة بحجم 0x30  من وحدات البايت تحتوي على 0x41  من وحدات البايت (AAAAAAAAA... ).

الفحص التالي يكون بعد استدعاء ObReferenceObjectByHandle. تأخذ هذه الدالة الحقل الأول من بنية الإدخال كأول وسيط لها.

لقطة شاشة مأخوذة لمنشور المدونة

الشكل 12 — afd!AfdNotifySock تستدعي nt!ObReferenceObjectByHandle

يجب أن ينجح الاستدعاء حتى نتمكن من الانتقال إلى مسار تنفيذ الكود الصحيح، وهو ما يعني أنه يجب علينا تمرير معرّف صالح إلى IoCompletionObject . لا توجد طريقة موثقة رسميًا لإنشاء كائن من هذا النوع عبر واجهة برمجة التطبيقات Win32. لكن، بعد القليل من البحث، وجدنا دالة NT غير موثقة NtCreateIoCompletion نفذت المهمة.

بعد ذلك، نصل إلى حلقة قيمة عدادها كانت إحدى القيم الموجودة في بنيتنا:

لقطة شاشة مأخوذة لحلقة afd!AfdNotifySock

الشكل 13 — حلقة afd!AfdNotifySock

في هذه الحلقة، جرى فحص حقل من بنيتنا للتحقق من احتوائه على مؤشر صالح لوضع المستخدم، ثم نُسخت البيانات إليه. يزداد المؤشر بعد كل تكرار للحلقة. ملأنا المؤشرات بعناوين صالحة وضبطنا العداد على 1. ومن ثَم، تمكنا أخيرًا من الوصول إلى الدالة التي تحتوي على الثغرة AfdNotifyRemoveIoCompletion .

لقطة شاشة مأخوذة لاستدعاء afd!AfdNotifyRemoveIoCompletion

الشكل 14 — استدعاء afd!AfdNotifyRemoveIoCompletion

بمجرد الدخول إليها AfdNotifyRemoveIoCompletion ، يُجرى الفحص الأول لحقل آخر من بنيتنا. يجب أن تكون قيمته غير صفرية. ثم تُضرب في 0×20 وتمرر إلى ProbeForWrite  إلى جانب حقل آخر في بنيتنا كمعامل مؤشر. ومن ثَم، يمكننا ملء البنية أكثر بمؤشر صالح لوضع المستخدم (pData2 ) والحقل dwLen = 1 (بحيث يكون الحجم الإجمالي الممرر إلى ProbeForWrite  يساوي 0×20)، ومن ثَم، تنجح هذه الفحوصات.

لقطة شاشة مأخوذة لفحص حقول afd! Afd!AfdNotifyRemoveIoCompletion

الشكل 15 — فحص حقول afd! Afd!AfdNotifyRemoveIoCompletion

أخيرًا، آخر فحص يجب اجتيازه قبل الوصول إلى الكود المستهدف هو استدعاء IoRemoveCompletion والتي يجب أن تُرجع القيمة 0 (STATUS_SUCCESS ).

ستُحظر هذه الدالة حتى حدوث أحد الأمرين التاليين:

  • يصبح سجل الإنجاز متاحًا للمعلمة IoCompletionObject معلمة
  • تنتهي المهلة، والتي تمرر كمعامل للدالة

نحن نتحكم في قيمة المهلة من خلال بنيتنا، لكن مجرد تعيين المهلة على 0 لا يكفي لنجاح الدالة. لكي لا تُرجع هذه الدالة أية أخطاء، يجب أن يكون هناك سجل إنجاز واحد على الأقل. بعد البحث، وجدنا الدالة غير الموثقة NtSetIoCompletion، والتي تزيد يدويًا عداد الإدخال/الإخراج المعلق على IoCompletionObject . استدعاء هذه الدالة على IoCompletionObject التي أنشأناها سابقًا يضمن أن استدعاء IoRemoveCompletion يُرجع STATUS_SUCCESS .

لقطة شاشة مأخوذة لمنشور المدونة

الشكل 16 — afd!AfdNotifyRemoveIoCompletion فحص قيمة إرجاع nt!IoRemoveIoCompletion

بدء الكتابة العشوائية في أي مكان

الآن، بعد أن تمكنا من الوصول إلى الكود الذي يحتوي على الثغرة، يمكننا ملء الحقل المناسب في بنيتنا بعنوان عشوائي للكتابة فيه. القيمة التي نكتبها في حقل العنوان تأتي من عدد صحيح يُمرر مؤشره في استدعاء IoRemoveIoCompletionIoRemoveIoCompletion  تضبط قيمة هذا العدد الصحيح على قيمة الإرجاع الخاصة باستدعاء KeRemoveQueueEx .

لقطة شاشة مأخوذة لمنشور المدونة

الشكل 17 — قيمة إرجاع nt!KeRemoveQueueEx

لقطة شاشة مأخوذة لمنشور المدونة

الشكل 18 — استخدام قيمة إرجاع nt!KeRemoveQueueEx

في إثبات المفهوم لدينا، تساوي قيمة الكتابة هذه دائمًا 0x1 . لقد توقعنا أن قيمة المرجعة من KeRemoveQueueEx هي عدد العناصر المحذوفة من قائمة الانتظار، مع عدم إجراء مزيد من التحقيق. في هذه المرحلة، كان لدينا البيانات البدائية التي نحتاجها وانتقلنا لاستكمال عملية الاستغلال. وتأكدنا لاحقًا أن هذا التخمين كان صحيحًا، ويمكن زيادة قيمة الكتابة بشكل عشوائي من خلال إجراء المزيد من استدعاءات NtSetIoCompletion على IoCompletionObject .

زيادة الامتيازات المحلية (LPE) باستخدام IORING

بفضل إمكانية كتابة قيمة ثابتة (0x1) في حقل عنوان نواة عشوائي، تمكنا من تحويل هذه الإمكانية إلى قراءة/كتابة نواة عشوائية كاملة. ونظرًا إلى أن هذه الثغرة الأمنية تؤثر في أحدث إصدارات Windows 11 (22H2)، فقد اخترنا الاستفادة من تلف كائن حلقةالإدخال/الإخراج في Windows لإنشاء البيانات البدائية الخاصة بنا. كتب Yarden Shafir عددًا من المنشورات الممتازة حول حلقات الإدخال/الإخراج الخاصة بنظام Windows، كما طوّر وكشف عن البيانات البدائية التي استفدنا منها في سلسلة الاستغلال هذه. وحسب علمنا، هذه هي المرة الأولى التي تُستخدم فيها هذه البيانات البدائية في عملية استغلال علني.

عند تهيئة حلقة الإدخال/الإخراج من قبل المستخدم، تُنشأ بنيتان منفصلتان، واحدة في مساحة المستخدم والأخرى في مساحة النواة. فيما يلي هاتان البينتان.

كائن النواة يتوافق مع nt!_IORING_OBJECT  وهو موضح أدناه.

لقطة شاشة مأخوذة لمنشور المدونة

الشكل 19 — تهيئة nt!_IORING_OBJECT

لاحظ أن كائن النواة يحتوي على حقلين، RegBuffersCount  و RegBuffers ، ويُضبطان على الصفر عند التهيئة. يشير العدد إلى عدد عمليات الإدخال/الإخراج التي يمكن وضعها في قائمة انتظار حلقة الإدخال/الإخراج. المعامل الآخر هو مؤشر خاص بقائمة العمليات الموضوعة في قائمة الانتظار حاليًا.

في مساحة المستخدم، عند استدعاء kernelbase!CreateIoRing ، ستحصل على معرّف حلقة الإدخال/الإخراج عند النجاح. وهذا المعرّف هو مؤشر لبنية غير موثقة (HIORing). لقد حصلنا على تعريف هذه البنية من البحث الذي أجراه Yarden Shafir.

typedef struct _HIORING {

    HANDLE handle;

    NT_IORING_INFO Info;

    ULONG IoRingKernelAcceptedVersion;

    PVOID RegBufferArray;

    ULONG BufferArraySize;

    PVOID Unknown;

    ULONG FileHandlesCount;

    ULONG SubQueueHead;

    ULONG SubQueueTail;

};

إذا كانت هناك ثغرة أمنية، مثل تلك التي المذكورة في منشور المدونة هذا، تتيح لك تحديث حقول RegBuffersCount  و RegBuffers  ، فمن الممكن استخدام واجهات برمجة التطبيقات القياسية لحلقة الإدخال/الإخراج من أجل قراءة ذاكرة النواة وكتابتها.

كما رأينا أعلاه، يمكننا استخدام الثغرة لكتابة 0x1 في أي عنوان نواة نريده. ولإعداد بيانات بدائية لحلقة الإدخال/الإخراج، يمكننا ببساطة تشغيل الثغرة الأمنية مرتين.

في المرة الأولى، نضبط RegBufferCount  إلى 0x1 .

لقطة شاشة مأخوذة لتشغيل nt!_IORING_OBJECT للثغرة لأول مرة

الشكل 20 — تشغيل nt!_IORING_OBJECT للثغرة لأول مرة

وفي المرة الثانية نضبط RegBuffers على عنوان يمكننا تخصيصه في مساحة المستخدم (مثل 0x0000000100000000).

لقطة شاشة مأخوذة لتشغيل nt!_IORING_OBJECT للثغرة للمرة الثانية

الشكل 21 — تشغيل nt!_IORING_OBJECT للثغرة للمرة الثانية

يبقى فقط وضع عمليات الإدخال/الإخراج في قائمة الانتظار عن طريق كتابة مؤشرات إلى بنياتnt!_IOP_MC_BUFFER_ENTRY  مزيفة في عنوان مساحة المستخدم (0x100000000 ). يجب أن يساوي عدد الإدخالات RegBuffersCount . هذه العملية موضحة في المخطط أدناه.

مخطط مصمم لمنشور المدونة

الشكل 22 — إعداد مساحة المستخدم للبيانات البدائية الخاصة بكتابة/قراءة نواة حلقة الإدخال/الإخراج

واحد منها nt!_IOP_MC_BUFFER_ENTRY  موضح في لقطة الشاشة أدناه. لاحظ أن وجهة العملية هي عنوان النواة (0xfffff8052831da20 ) وأن حجم العملية في هذه الحالة يساوي 0x8  من وحدات البايت. لا يمكن المعرفة من البنية ما إذا كانت هذه عملية قراءة أم كتابة. يعتمد اتجاه العملية على واجهة برمجة التطبيقات المستخدمة لوضع طلب الإدخال/الإخراج في قائمة الانتظار. يؤدي استخدام kernelbase!BuildIoRingReadFile إلى كتابة عشوائية في النواة ويؤدي kernelbase!BuildIoRingWriteFile  إلى قراءة عشوائية في النواة.

لقطة شاشة مأخوذة لمنشور المدونة

الشكل 23 — مثال على عملية حلقة الإدخال/الإخراج المزيفة

لتنفيذ عملية كتابة عشوائية، تُعيّن عملية إدخال/إخراج لقراءة البيانات من معرّف ملف وكتابة تلك البيانات إلى عنوان نواة.

مخطط مصمم لمنشور المدونة

الشكل 24 — الكتابة العشوائية لحلقة الإدخال/الإخراج

وفي المقابل، لتنفيذ عملية قراءة عشوائية، تُعيّن عملية إدخال/إخراج لقراءة البيانات في عنوان نواة وكتابة تلك البيانات إلى معرّف ملف.

مخطط مصمم للقراءة العشوائية باستخدام حلقة الإدخال/الإخراج

الشكل 25 – القراءة العشوائية لحلقة الإدخال/الإخراج

عرض توضيحي

مع إعداد البيانات البدائية،لا يبقى سوى استخدام بعض تقنيات ما بعد الاستغلال القياسية في النواة لتسريب الرمز المميز لعملية ذات امتيازات مرتفعة مثل عملية النظام (PID 4) واستبداله بالرمز المميز لعملية أخرى.

الاستغلال على أرض الواقع

بعد الإصدار العام لكود الاستغلال الخاص بنا، كشف Xiaoliang Liu (@flame36987044) من 360 Icesword Lab علنًا لأول مرة، عن أنهم اكتشفوا عينة تستغل هذه الثغرة الأمنية على أرض الواقع (ITW) في وقت سابق من هذا العام. وكان الأسلوب الذي استخدمته عينة ITW مختلفًا عن أسلوبنا. يشغل المهاجم الثغرة الأمنية باستخدام دالة واجهة برمجة التطبيقات Winsock المقابلة، ProcessSocketNotifications ، بدلاً من استدعاء برنامج تشغيل afd.sys مباشرة، كما فعلنا في عملية الاستغلال التي أجريناها.

فيما يلي البيان الرسمي الصادر عن 360 Icesword Lab:

"360 IceSword Lab يركز على الكشف عن التهديدات المتقدمة المستمرة (APT) والحماية منها. استنادًا إلى نظام رادار ثغرات اليوم الصفري لدينا، اكتشفنا عينة استغلال للثغرة CVE-2023-21768 على أرض الواقع في شهر يناير من هذا العام، والتي تختلف عن الثغرات التي أعلن عن استغلالها @chompie1337 و@FuzzySec من حيث استغلالها من خلال آليات النظام ومزايا الثغرات. يرتبط الاستغلال بكل من NtSetIoCompletion وProcessSocketNotifications ، ProcessSocketNotifications تحصل على عدد مرات NtSetIoCompletion يُجرى استدعاؤها، لذلك نستخدم هذا لتغيير عدد الامتيازات".

النشرة الإخبارية الخاصة بالمجال

أحدث الأخبار التقنية، مدعومة برؤى خبراء

ابقَ على اطلاع دائم على أبرز الاتجاهات في مجالات الذكاء الاصطناعي، والأتمتة، والبيانات، وغيرها الكثير من خلال رسالة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.

شكرًا لك! أنت مشترك.

سيصلك محتوى الاشتراك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك من هنا. لمزيد من المعلومات، راجع بيان خصوصية IBM.

الخاتمة والاستنتاجات النهائية

قد تلاحظ أن أجزاء من تحليلنا للهندسة العكسية كانت سطحية. أحيانا يكون من المفيد الإشارة إلى بعض التغييرات المتعلقة بالحالة فقط والتعامل مع أجزاء البرنامج كصندوق أسود، لتجنب الوقوع في دوامة غير ذات صلة. وهذا سمح لنا بتسريع عملية الاستغلال، رغم أن تسريع الإنجاز لم يكن هدفنا.

بالإضافة إلى ذلك، استعرضنا تغييرات التحديث الأمني لجميع الثغرات الأمنية المذكورة فيafd.sys ويُشار إليها باسم "أكثر عرضة للاستغلال". في أثناء الاستعراض، تبين لنا أن جميع الثغرات باستثناء اثنتين كانت نتيجة تحقق غير صحيح للمؤشرات المُمررة من وضع المستخدم. وهذا يوضح أن وجود معرفة سابقة بالثغرات الأمنية القديمة، لا سيما ضمن هدف محدد، يمكن أن يكون مفيدًا في العثور على ثغرات أمنية جديدة. عند توسيع قاعدة الأكواد – من المرجح أن تتكرر الأخطاء نفسها. تذكر، كود C جديد == ثغرات جديدة 😀. وكما يتضح من اكتشاف الثغرة الأمنية المذكورة أعلاه والتي تُستغل على أرض الواقع، يمكن القول إن المهاجمين يراقبون عن كثب الإضافات الجديدة لقاعدة الأكواد أيضًا.

يتيح لنا غياب دعم Supervisor Mode Access Protection (SMAP) في نواة Windows خيارات وفيرة لإنشاء بيانات بدائية جديدة لاستغلال البيانات فقط. ولا يمكن إنشاء هذه البيانات البدائية في أنظمة التشغيل الأخرى التي تدعم SMAP. على سبيل المثال، CVE-2021-41073، وهي ثغرة في تنفيذ Linux للمخازن المؤقتة لحلقة الإدخال/الإخراج المسجلة مسبقًا، (وهي الميزة نفسها التي نستغلها في Windows لإنشاء البيانات البدائية للقراءة/الكتابة). يمكن أن تسمح هذه الثغرة الأمنية باستبدال مؤشر النواة الخاص بمخزن مؤقت مسجل، ولكن لا يمكن استخدامها لإنشاء بيانات بدائية للقراءة/الكتابة العشوائية لأنه في حال استبدال المؤشر بمؤشر مستخدم، وحاولت النواة القراءة أو الكتابة هناك، فسوف يتعطل النظام.

رغم جهود Microsoft الكبيرة للقضاء على البيانات البدائيةالمفضلة في عمليات الاستغلال، من المؤكد أن هناك بيانات بدائية جديدة ستكتشف لتحل محلها. تمكنا من استغلال أحدث إصدار من Windows 11 22H2 من دون مواجهة أي تصدي أو قيود من مزايا الأمان التي تستند إلى المحاكاة الافتراضية مثل HVCI.

Mixture of Experts | 12 ديسمبر، الحلقة 85

فك تشفير الذكاء الاصطناعي: تقرير إخباري أسبوعي

انضمّ إلى نخبة من المهندسين والباحثين وقادة المنتجات وغيرهم من الخبراء وهم يقدّمون أحدث الأخبار والرؤى حول الذكاء الاصطناعي، بعيدًا عن الضجيج الإعلامي.
شاهد جميع حلقات برنامج Mixture of Experts
المراجع