"Patch Tuesday, Exploit Wednesday" é um antigo ditado entre hackers que se refere à exploração de vulnerabilidades no dia seguinte à disponibilização pública das atualizações de segurança mensais. À medida que a segurança melhora e as mitigações de exploração se tornam mais sofisticadas, a quantidade de pesquisa e desenvolvimento necessária para criar uma exploração aumentou. Isso é especialmente relevante para vulnerabilidades de corrupção de memória.
Figura 1 – Cronograma de invasão
No entanto, com a adição de novas funcionalidades (e código C que não protege a memória) no kernel do Windows 11, novas superfícies de ataque podem ser introduzidas. Ao aprimorar esse código recém-introduzido, demonstramos que vulnerabilidades que podem ser facilmente transformadas em armas ainda ocorrem com frequência. Neste post de blog, analisamos e exploramos uma vulnerabilidade no driver de função auxiliar do Windows para Winsock, afd.sys, para Local Privilege Escalation (LPE) no Windows 11. Embora nenhum de nós tivesse experiência prévia com esse módulo do kernel, conseguimos diagnosticar, reproduzir e explorar a vulnerabilidade em cerca de um dia. Você pode encontrar o código de exploração aqui.
Com base nos detalhes do CVE-2023-21768 publicados pelo Microsoft Security Response Center (MSRC), a vulnerabilidade existe no Driver Ancillary Function (AFD), cujo nome de arquivo binário é afd.sys. O módulo AFD é o ponto de entrada do kernel para a API Winsock. Com essas informações, analisamos a versão do driver de dezembro de 2022 e a comparamos com a versão recém-lançada em janeiro de 2023. Essas amostras podem ser obtidas individualmente do Winbindex sem o demorado processo de extração de alterações dos patches da Microsoft. As duas versões analisadas são mostradas abaixo.
O Ghidra foi usado para criar exportações binárias para ambos os arquivos, para que pudessem ser comparados no BinDiff. Uma visão geral das funções correspondentes é mostrada abaixo.
Figura 2 – Comparação binária do AFD.sys
Apenas uma função parecia ter sido alterada,
Pré-patch,
Figura 3 – pré-patch afd!AfdNotifyRemoveIoCompletion
Pós-patch, afd.sys versão 10.0.22621.1105.
Figura 4 – pós-patch afd!AfdNotifyRemoveIoCompletion
Essa alteração mostrada acima é a única atualização da função identificada. Uma análise rápida mostrou que uma verificação está sendo realizada com base no
Se, por outro lado,
Essa verificação está ausente na versão pré-patch do driver. Como a função tem um comando switch específico para
A suposição é de que o desenvolvedor pretendia adicionar essa verificação, mas esqueceu (todos nós precisamos de café às vezes ☕!).
A partir dessa atualização, podemos inferir que um invasor pode acessar esse caminho de código com um valor controlado no
field_0x18
O próprio protótipo da função contém ambos, o
Figura 5 – protótipo da função afd!AfdNotifyRemoveIoCompletion
Agora sabemos a localização da vulnerabilidade, mas não sabemos como acionar a execução do caminho do código vulnerável. Faremos engenharia reversa antes de começar a trabalhar em uma prova de conceito (PoC).
Primeiro, foi feita uma referência cruzada da função vulnerável para entender onde e como ela foi usada.
Figura 6 – referências cruzadas afd!AfdNotifyRemoveIoCompletion
Uma única chamada para a função vulnerável é feita em
Repetimos o processo, procurando referências cruzadas para
Figura 7 – afd!AfdIrpCallDispatch
Esta tabela contém as rotinas de despacho para o driver AFD. Rotinas de despacho são usadas para lidar com solicitações de aplicações Win32 ao chamar DeviceIoControl. O código de controle de cada função encontra-se na
No entanto, o ponteiro acima não está dentro da
Figura 8 – afd!AfdIoctlTable
Vale a pena observar que é o último código de controle de entrada/saída (IOCTL) na tabela, indicando que AfdNotifySock é provavelmente uma nova função de despacho que foi recentemente adicionada ao driver AFD.
Nesse ponto, tínhamos algumas opções. Poderíamos fazer engenharia reversa da API Winsock correspondente em um espaço de usuário para entender melhor como a função do kernel subjacente foi chamada, ou fazer engenharia reversa do código do kernel e chamá-lo diretamente. Na verdade, não sabíamos a qual função do Winsock correspondia
Encontramos um código publicado por x86matthew que realiza operações de socket chamando diretamente o driver AFD, dispensando a biblioteca Winsock. Isso é interessante do ponto de vista da discrição, mas para os nossos propósitos, é um bom modelo para criar um identificador para um socket TCP para fazer solicitações IOCTL ao driver AFD. A partir daí, conseguimos alcançar a função de destino, conforme evidenciado pelo alcance de um ponto de interrupção definido no WinDbg durante a depuração do kernel.
Figura 9 – ponto de interrupção afd!AfdNotifySock
Agora, volte ao protótipo da função para
Neste ponto, não sabemos como preencher os dados no lpInBuffer, que chamaremos de
Vamos analisar cada uma das verificações.
A primeira verificação que encontramos é no início da
Figura 10 – verificação de tamanho do afd!AfdNotifySock
Essa verificação nos diz que o tamanho do
A próxima verificação valida valores em vários campos da nossa estrutura:
Figura 11 – validação da estrutura afd!AfdNotifySock
Na época, não sabíamos a que qualquer um dos campos correspondia, então passamos em um
A próxima verificação que encontramos ocorre após uma chamada para ObReferenceObjectByHandle. Essa função recebe o primeiro campo da nossa estrutura de input como seu primeiro argumento.
Figura 12 – afd!AfdNotifySock chama nt!ObReferenceObjectByHandle
A chamada deve retornar sucesso para prosseguir para o caminho correto de execução do código, o que significa que devemos passar um identificador válido para um
Em seguida, chegamos a um loop cujo contador era um dos valores da nossa estrutura:
Figura 13 – Loop afd!AfdNotifySock
Este loop verificava um campo da nossa estrutura para confirmar se ele continha um ponteiro de modo de usuário válido e copiava os dados para ele. O ponteiro é incrementado após cada iteração do loop. Preenchemos os ponteiros com endereços válidos e ajustamos o contador para 1. A partir daqui, conseguimos finalmente chegar na função vulnerável
Figura 14 – chamada afd!AfdNotifyRemoveIoCompletion
Uma vez lá dentro
Figura 15 – verificação do campo afd! Afd!AfdNotifyRemoveIoCompletion
Por fim, a última verificação a ser feita antes de chegar ao código de destino é uma chamada para
que deve retornar 0 (
).
Essa função ficará bloqueada até que:
parâmetro
IoCompletionObject
Controlamos o valor de tempo de espera por meio de nossa estrutura, mas simplesmente definir um tempo de espera de 0 não é suficiente para que a função retorne com êxito. Para que essa função retorne sem erros, deve haver pelo menos um registro de conclusão disponível. Após alguma pesquisa, encontramos a função não documentada NtSetIoCompletion, que incrementa manualmente o contador pendente de E/S em um
. Chamar essa função no
que criamos anteriormente garante que a chamada para
retorne
Figura 16 – afd!AfdNotifyRemoveIoCompletion verificação de retorno nt!IoRemoveIoCompletion
Agora que podemos chegar no código vulnerável, podemos preencher o campo apropriado na nossa estrutura com um endereço arbitrário para escrever. O valor que escrevemos no endereço vem de um inteiro cujo ponteiro é passado para a chamada para
Figura 17 – valor de retorno nt!KeRemoveQueueEx
Figura 18 – uso de retorno nt!KeRemoveQueueEx
Em nossa prova de conceito, esse valor de escrita é sempre igual a
. Pensamos que o valor de retorno de
é o número de itens removidos da fila, mas não investiguei mais a fundo. Nesse ponto, tínhamos a primitiva necessária e pudemos prosseguir para a finalização da cadeia de exploração. Mais tarde, confirmamos que essa suposição estava correta e que o valor de escrita pode ser incrementado arbitrariamente por meio de chamadas adicionais para
no
Com a capacidade de escrever um valor fixo (0x1) em um endereço de kernel arbitrário, passamos a transformar isso em uma leitura/escrita de kernel arbitrário completa. Como essa vulnerabilidade afeta as versões mais recentes do Windows 11 (22H2), optamos por aproveitar uma corrupção de objeto do Windows I/O Ring para criar nossa primitiva. Yarden Shafir escreveu vários artigos excelentes sobre anéis de E/S do Windows e também desenvolveu e divulgou a primitiva que aproveitamos em nossa cadeia de exploração. Até onde sabemos, esta é a primeira instância em que essa primitiva foi usada em uma exploração pública.
Quando um anel de E/S é inicializado por um usuário, duas estruturas separadas são criadas, uma no espaço do usuário e outra no espaço do kernel. Essas estruturas são mostradas abaixo.
O objeto do kernel mapeia para o
Figura 19 – Inicialização do nt!_IOring_OBJECT
Observe que o objeto do kernel tem dois campos,
No lado do espaço do usuário, ao chamar kernelbase!CreateIoRing, você recebe um identificador de anel de E/S em caso de sucesso. Esse identificador é um ponteiro para uma estrutura não documentada (HIORING). Nossa definição dessa estrutura foi obtida com a pesquisa feita por Yarden Shafir.
typedef struct _HIORING {
HANDLE handle;
NT_IORING_INFO Info;
ULONG IoRingKernelAcceptedVersion;
PVOID RegBufferArray;
ULONG BufferArraySize;
PVOID Unknown;
ULONG FileHandlesCount;
ULONG SubQueueHead;
ULONG SubQueueTail;
};
Se uma vulnerabilidade, como a abordada nesta postagem do blog, permitir que você atualize o
Como vimos acima, podemos usar a vulnerabilidade para escrever 0x1 em qualquer endereço do kernel que quisermos. Para configurar a primitiva de anel de E/S, podemos simplesmente acionar a vulnerabilidade duas vezes.
No primeiro gatilho, definimos o
Figura 20 – nt!_IORING_OBJECT acionando o bug pela primeira vez
E no segundo gatilho, definimos RegBuffers para um endereço que pode ser alocado no espaço do usuário (como 0x0000000100000000).
Figura 21 – nt!_IORING_OBJECT acionando o bug pela segunda vez
Resta apenas enfileirar as operações de E/S escrevendo ponteiros para forjar
Figura 22 — configurando o espaço do usuário para a primitiva R/W do kernel I/O Ring
Um desses
Figura 23 – exemplo de operação falsa de I/O Ring
Para realizar uma escrita arbitrária, uma operação de E/S é encarregada de ler dados de um manipulador de arquivo e escrever esses dados em um endereço de Kernel.
Figura 24 – escrita arbitrária de I/O Ring
Por outro lado, para realizar uma leitura arbitrária, uma operação de E/S é encarregada de ler dados em um endereço de kernel e escrever esses dados em um identificador de arquivo.
Figura 25 - leitura arbitrária de I/O Ring
Com a configuração primitiva, tudo o que resta é usar algumas técnicas padrão do kernel pós-invasão para vazar o token de um processo elevado como System (PID 4) e sobrescrever o token de um processo diferente.
Após a divulgação pública do nosso código de exploração, Xiaoliang Liu (@flame36987044) do 360 Icesword Lab divulgou publicamente pela primeira vez que descobriu uma amostra que explora essa vulnerabilidade em ambiente real (ITW) no início deste ano. A técnica utilizada pela amostra ITW é diferente da nossa. O invasor dispara a vulnerabilidade usando a função de API do Winsock correspondente,
, em vez de chamar o
A declaração oficial do 360 Icesword Lab é a seguinte:
“O 360 IceSword Lab se concentra na detecção e defesa de APT. Com base em nosso sistema de radar de vulnerabilidades 0day, descobrimos uma amostra de exploração da CVE-2023-21768 em atividade em janeiro deste ano, que difere das explorações anunciadas por @chompie1337 e @FuzzySec, por ser explorada por meio de mecanismos do sistema e funcionalidades de vulnerabilidade. A exploração está relacionada a
e
,
recebe o número de vezes
é chamado, então usamos isso para alterar a contagem de privilégios."
Boletim informativo do setor
Mantenha-se atualizado sobre as tendências mais importantes (e intrigantes) do setor em IA, automação, dados e muito mais com o boletim informativo Think. Consulte a Declaração de privacidade da IBM.
Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas inscrições ou cancelar a inscrição aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.
Você pode notar que, em algumas partes da engenharia reversa, nossa análise é superficial. Às vezes, é útil observar apenas algumas mudanças de estado relevantes e tratar partes do programa como uma espécie de "caixa-preta", para evitar se perder em detalhes irrelevantes. Isso nos permitiu reverter uma exploração rapidamente, mesmo que maximizar a velocidade de conclusão não fosse nosso objetivo.
Além disso, realizamos uma avaliação comparativa de patches de todas as vulnerabilidades relatadas em
afd.sys
A falta de suporte para Supervisor Mode Access Protection (SMAP) no kernel do Windows nos deixa com inúmeras opções para construir novas primitivas de exploração que visam apenas os dados. Essas primitivas não são viáveis em outros sistemas operacionais que suportam SMAP. Por exemplo, considere a CVE-2021-41073, uma vulnerabilidade na implementação do Linux de buffers pré-registrados de I/O Ring (a mesma funcionalidade que usamos no Windows para uma primitiva R/W). Essa vulnerabilidade pode permitir a substituição de um ponteiro do kernel por um buffer registrado, mas não pode ser usada para construir uma primitiva R/W arbitrária, pois se o ponteiro for substituído por um ponteiro do usuário e o kernel tentar ler ou escrever lá, o sistema falhará.
Apesar dos grandes esforços da Microsoft para eliminar primitivas de exploração populares, certamente novas primitivas serão descobertas para substituí-las. Conseguimos realizar uma exploração da versão mais recente do Windows 11 22H2 sem encontrar mitigações ou restrições das funcionalidades de segurança baseada em virtualização, como HVCI.