Patch Tuesday → Exploit Wednesday: explorando o driver de função auxiliar do Windows para WinSock (afd.sys) em 24 horas

Ilustração do espaço de liderança do escritório de privacidade e tecnologia responsável mostrando o escudo de privacidade

Autores

Valentina Palmiotti

Head of X-Force Offensive Research (XOR)

IBM

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

"Patch Tuesday, Exploit Wednesday" é um antigo ditado entre hackers que se refere à exploração de vulnerabilidades no dia seguinte à disponibilização pública das atualizações de segurança mensais. À medida que a segurança melhora e as mitigações de exploração se tornam mais sofisticadas, a quantidade de pesquisa e desenvolvimento necessária para criar uma exploração aumentou. Isso é especialmente relevante para vulnerabilidades de corrupção de memória.

Captura de tela feita para a postagem do blog

Figura 1 – Cronograma de invasão

No entanto, com a adição de novas funcionalidades (e código C que não protege a memória) no kernel do Windows 11, novas superfícies de ataque podem ser introduzidas. Ao aprimorar esse código recém-introduzido, demonstramos que vulnerabilidades que podem ser facilmente transformadas em armas ainda ocorrem com frequência. Neste post de blog, analisamos e exploramos uma vulnerabilidade no driver de função auxiliar do Windows para Winsock, afd.sys, para Local Privilege Escalation (LPE) no Windows 11. Embora nenhum de nós tivesse experiência prévia com esse módulo do kernel, conseguimos diagnosticar, reproduzir e explorar a vulnerabilidade em cerca de um dia. Você pode encontrar o código de exploração aqui.

Análise de diferenças de patches e causa raiz

Com base nos detalhes do CVE-2023-21768 publicados pelo Microsoft Security Response Center (MSRC), a vulnerabilidade existe no Driver Ancillary Function (AFD), cujo nome de arquivo binário é afd.sys. O módulo AFD é o ponto de entrada do kernel para a API Winsock. Com essas informações, analisamos a versão do driver de dezembro de 2022 e a comparamos com a versão recém-lançada em janeiro de 2023. Essas amostras podem ser obtidas individualmente do Winbindex sem o demorado processo de extração de alterações dos patches da Microsoft. As duas versões analisadas são mostradas abaixo.

  • AFD.sys / Windows 11 22H2 / 10.0.22621.608 (dezembro de 2022)
  • AFD.sys / Windows 11 22H2 / 10.0.22621.1105 (janeiro de 2023)

O Ghidra foi usado para criar exportações binárias para ambos os arquivos, para que pudessem ser comparados no BinDiff. Uma visão geral das funções correspondentes é mostrada abaixo.

Captura de tela de comparação binária do AFD.sys

Figura 2 – Comparação binária do AFD.sys

Apenas uma função parecia ter sido alterada, afd!AfdNotifyRemoveIoCompletion . Isso acelerou significativamente nossa análise da vulnerabilidade. Em seguida, comparamos as duas funções. A captura de tela abaixo mostra o código alterado antes e depois da aplicação do patch, ao analisar o código descompilado no Binary Ninja.

Pré-patch, afd.sys version 10.0.22621.608 .

Captura de tela feita para a postagem do blog

Figura 3 – pré-patch afd!AfdNotifyRemoveIoCompletion

Pós-patch, afd.sys versão 10.0.22621.1105.

Captura de tela feita para a postagem do blog

Figura 4 – pós-patch afd!AfdNotifyRemoveIoCompletion

Essa alteração mostrada acima é a única atualização da função identificada. Uma análise rápida mostrou que uma verificação está sendo realizada com base no PreviousMode . Se PreviousMode é zero (indicando que a chamada se origina do kernel), um valor é gravado em um ponteiro especificado por um campo em uma estrutura desconhecida. Se, por outro lado, PreviousMode não for zero,ProbeForWrite será chamado para garantir que o ponteiro definido no campo seja um endereço válido que reside no modo de usuário.

Essa verificação está ausente na versão pré-patch do driver. Como a função tem um comando switch específico para PreviousMode A suposição é de que o desenvolvedor pretendia adicionar essa verificação, mas esqueceu (todos nós precisamos de café às vezes ☕!).

A partir dessa atualização, podemos inferir que um invasor pode acessar esse caminho de código com um valor controlado nofield_0x18 da estrutura desconhecida. Se um invasor conseguir lidar com esse campo com um endereço de kernel, será possível criar uma primitiva Write-Where arbitrária no kernel. Neste ponto, não está claro qual valor está sendo escrito, mas qualquer valor poderia potencialmente ser usado como um primitivo de elevação de privilégio local.

O próprio protótipo da função contém ambos, o PreviousMode valor e um ponteiro para a estrutura desconhecida como primeiro e terceiro argumentos, respectivamente.

Captura de tela do protótipo da função afd!AfdNotifyRemoveIoCompletion

Figura 5 – protótipo da função afd!AfdNotifyRemoveIoCompletion

Engenharia reversa

Agora sabemos a localização da vulnerabilidade, mas não sabemos como acionar a execução do caminho do código vulnerável. Faremos engenharia reversa antes de começar a trabalhar em uma prova de conceito (PoC).

Primeiro, foi feita uma referência cruzada da função vulnerável para entender onde e como ela foi usada.

Captura de tela de referências cruzadas de afd!AfdNotifyRemoveIoCompletion

Figura 6 – referências cruzadas afd!AfdNotifyRemoveIoCompletion

Uma única chamada para a função vulnerável é feita em afd!AfdNotifySock .

Repetimos o processo, procurando referências cruzadas para AfdNotifySock . Não encontramos chamadas diretas para a função, mas seu endereço aparece acima de uma tabela de ponteiros de função nomeada como AfdIrpCallDispatch .

Captura de tela de afd!AfdIrpCallDispatch

Figura 7 – afd!AfdIrpCallDispatch

Esta tabela contém as rotinas de despacho para o driver AFD. Rotinas de despacho são usadas para lidar com solicitações de aplicações Win32 ao chamar DeviceIoControl. O código de controle de cada função encontra-se na AfdIoctlTable .

No entanto, o ponteiro acima não está dentro da AfdIrpCallDispatch  tabela como esperávamos. Com base nos slides da palestra do Steven Vittitoe,   Recon, descobrimos que há, na verdade, duas tabelas de despacho para AFD. A segunda é AfdImmediateCallDispatch . Ao calcular a distância entre o início dessa tabela e o local onde o ponteiro AfdNotifySock  está armazenado, podemos calcular o índice na AfdIoctlTable  que mostra que o código de controle para a função é 0x12127 .

Captura de tela de afd!AfdIoctlTable

Figura 8 – afd!AfdIoctlTable

Vale a pena observar que é o último código de controle de entrada/saída (IOCTL) na tabela, indicando que AfdNotifySock é provavelmente uma nova função de despacho que foi recentemente adicionada ao driver AFD.

Nesse ponto, tínhamos algumas opções. Poderíamos fazer engenharia reversa da API Winsock correspondente em um espaço de usuário para entender melhor como a função do kernel subjacente foi chamada, ou fazer engenharia reversa do código do kernel e chamá-lo diretamente. Na verdade, não sabíamos a qual função do Winsock correspondia AfdNotifySock Então, optamos pela segunda opção.

Encontramos um código publicado por x86matthew que realiza operações de socket chamando diretamente o driver AFD, dispensando a biblioteca Winsock. Isso é interessante do ponto de vista da discrição, mas para os nossos propósitos, é um bom modelo para criar um identificador para um socket TCP para fazer solicitações IOCTL ao driver AFD. A partir daí, conseguimos alcançar a função de destino, conforme evidenciado pelo alcance de um ponto de interrupção definido no WinDbg durante a depuração do kernel.

Captura de tela do ponto de interrupção afd!AfdNotifySock

Figura 9 – ponto de interrupção afd!AfdNotifySock

Agora, volte ao protótipo da função para DeviceIoControl , por meio do qual chamamos o driver AFD a partir do espaço do usuário. Um dos parâmetros, lpInBuffer , é um buffer de modo de usuário. Conforme mencionado na seção anterior, a vulnerabilidade ocorre porque o usuário consegue passar um ponteiro não validado para o driver dentro de uma estrutura de dados desconhecida. Essa estrutura é passada diretamente da nossa aplicação em modo de usuário por meio do parâmetro lpInBuffer. Foi passada no AfdNotifySock  como o quarto parâmetro, e no AfdNotifyRemoveIoCompletion  como o terceiro parâmetro.

Neste ponto, não sabemos como preencher os dados no lpInBuffer, que chamaremos de AFD_NOTIFYSOCK_STRUCT , a fim de passar nas verificações necessárias para chegar ao caminho do código vulnerável em AfdNotifyRemoveIoCompletion . O restante do nosso processo de engenharia reversa consistiu em seguir o fluxo de execução e examinar como chegar no código vulnerável.

Vamos analisar cada uma das verificações.

A primeira verificação que encontramos é no início da AfdNotifySock :

Captura de tela da verificação de tamanho do afd!AfdNotifySock

Figura 10 – verificação de tamanho do afd!AfdNotifySock

Essa verificação nos diz que o tamanho do AFD_NOTIFYSOCK_STRUCT  deve ser igual a 0x30  bytes, caso contrário a função falha com STATUS_INFO_LENGTH_MISMATCH .

A próxima verificação valida valores em vários campos da nossa estrutura:

de validação da estrutura do afd!AfdNotifySock

Figura 11 – validação da estrutura afd!AfdNotifySock

Na época, não sabíamos a que qualquer um dos campos correspondia, então passamos em um 0x30  array de bytes preenchido com 0x41  bytes (AAAAAAAAA... ).

A próxima verificação que encontramos ocorre após uma chamada para ObReferenceObjectByHandle. Essa função recebe o primeiro campo da nossa estrutura de input como seu primeiro argumento.

Captura de tela feita para a postagem do blog

Figura 12 – afd!AfdNotifySock chama nt!ObReferenceObjectByHandle

A chamada deve retornar sucesso para prosseguir para o caminho correto de execução do código, o que significa que devemos passar um identificador válido para um IoCompletionObject . Não há uma maneira oficialmente documentada de criar um objeto desse tipo por meio da API Win32. No entanto, após alguma pesquisa, encontramos uma função NT não documentada NtCreateIoCompletion que resolveu o problema.

Em seguida, chegamos a um loop cujo contador era um dos valores da nossa estrutura:

Captura de tela do loop afd!AfdNotifySock

Figura 13 – Loop afd!AfdNotifySock

Este loop verificava um campo da nossa estrutura para confirmar se ele continha um ponteiro de modo de usuário válido e copiava os dados para ele. O ponteiro é incrementado após cada iteração do loop. Preenchemos os ponteiros com endereços válidos e ajustamos o contador para 1. A partir daqui, conseguimos finalmente chegar na função vulnerável AfdNotifyRemoveIoCompletion .

Captura de tela da chamada afd! Chamada AFDNotifyRemoveIOCompletion

Figura 14 – chamada afd!AfdNotifyRemoveIoCompletion

Uma vez lá dentro AfdNotifyRemoveIoCompletion , a primeira verificação é feita em outro campo da nossa estrutura. Deve ser diferente de zero. Em seguida, é multiplicado por 0x20 e passado para ProbeForWrite  junto com outro campo em nossa estrutura como parâmetro de ponteiro. A partir daqui, podemos preencher ainda mais a estrutura com um ponteiro de modo de usuário válido (pData2 ) e campo dwLen = 1 (para que o tamanho total passado para o ProbeForWrite  seja igual a 0x20), e as verificações sejam aprovadas.

Captura de tela da verificação de campo afd! Afd!AfdNotifyRemoveIoCompletion

Figura 15 – verificação do campo afd! Afd!AfdNotifyRemoveIoCompletion

Por fim, a última verificação a ser feita antes de chegar ao código de destino é uma chamada para IoRemoveCompletion que deve retornar 0 (STATUS_SUCCESS ).

Essa função ficará bloqueada até que:

  • Um registro de conclusão fica disponível para o IoCompletionObject parâmetro
  • O tempo limite expira, o que é passado como parâmetro da função

Controlamos o valor de tempo de espera por meio de nossa estrutura, mas simplesmente definir um tempo de espera de 0 não é suficiente para que a função retorne com êxito. Para que essa função retorne sem erros, deve haver pelo menos um registro de conclusão disponível. Após alguma pesquisa, encontramos a função não documentada NtSetIoCompletion, que incrementa manualmente o contador pendente de E/S em um IoCompletionObject . Chamar essa função no IoCompletionObject que criamos anteriormente garante que a chamada para IoRemoveCompletion retorne STATUS_SUCCESS .

Captura de tela feita para a postagem do blog

Figura 16 – afd!AfdNotifyRemoveIoCompletion verificação de retorno nt!IoRemoveIoCompletion

Acionar write-where arbitrário

Agora que podemos chegar no código vulnerável, podemos preencher o campo apropriado na nossa estrutura com um endereço arbitrário para escrever. O valor que escrevemos no endereço vem de um inteiro cujo ponteiro é passado para a chamada para IoRemoveIoCompletionIoRemoveIoCompletion  define o valor desse número inteiro como o valor de retorno de uma chamada para KeRemoveQueueEx .

Captura de tela feita para a postagem do blog

Figura 17 – valor de retorno nt!KeRemoveQueueEx

Captura de tela feita para a postagem do blog

Figura 18 – uso de retorno nt!KeRemoveQueueEx

Em nossa prova de conceito, esse valor de escrita é sempre igual a 0x1 . Pensamos que o valor de retorno de KeRemoveQueueEx é o número de itens removidos da fila, mas não investiguei mais a fundo. Nesse ponto, tínhamos a primitiva necessária e pudemos prosseguir para a finalização da cadeia de exploração. Mais tarde, confirmamos que essa suposição estava correta e que o valor de escrita pode ser incrementado arbitrariamente por meio de chamadas adicionais para NtSetIoCompletion no IoCompletionObject .

LPE com IORING

Com a capacidade de escrever um valor fixo (0x1) em um endereço de kernel arbitrário, passamos a transformar isso em uma leitura/escrita de kernel arbitrário completa. Como essa vulnerabilidade afeta as versões mais recentes do Windows 11 (22H2), optamos por aproveitar uma corrupção de objeto do Windows I/O Ring para criar nossa primitiva. Yarden Shafir escreveu vários artigos excelentes sobre anéis de E/S do Windows e também desenvolveu e divulgou a primitiva que aproveitamos em nossa cadeia de exploração. Até onde sabemos, esta é a primeira instância em que essa primitiva foi usada em uma exploração pública.

Quando um anel de E/S é inicializado por um usuário, duas estruturas separadas são criadas, uma no espaço do usuário e outra no espaço do kernel. Essas estruturas são mostradas abaixo.

O objeto do kernel mapeia para o nt!_IORING_OBJECT  e é mostrado abaixo.

Captura de tela feita para a postagem do blog

Figura 19 – Inicialização do nt!_IOring_OBJECT

Observe que o objeto do kernel tem dois campos, RegBuffersCount  e RegBuffers , que são zerados na inicialização. A contagem indica como as operações de E/S podem ser enfileiradas para o anel de E/S. O outro parâmetro é um ponteiro para uma lista das operações atualmente enfileiradas.

No lado do espaço do usuário, ao chamar kernelbase!CreateIoRing, você recebe um identificador de anel de E/S em caso de sucesso. Esse identificador é um ponteiro para uma estrutura não documentada (HIORING). Nossa definição dessa estrutura foi obtida com a pesquisa feita por Yarden Shafir.

typedef struct _HIORING {

    HANDLE handle;

    NT_IORING_INFO Info;

    ULONG IoRingKernelAcceptedVersion;

    PVOID RegBufferArray;

    ULONG BufferArraySize;

    PVOID Unknown;

    ULONG FileHandlesCount;

    ULONG SubQueueHead;

    ULONG SubQueueTail;

};

Se uma vulnerabilidade, como a abordada nesta postagem do blog, permitir que você atualize o RegBuffersCount  e RegBuffers  , então é possível usar APIs de I/O Ring padrão para ler e escrever na memória do kernel.

Como vimos acima, podemos usar a vulnerabilidade para escrever 0x1 em qualquer endereço do kernel que quisermos. Para configurar a primitiva de anel de E/S, podemos simplesmente acionar a vulnerabilidade duas vezes.

No primeiro gatilho, definimos o RegBufferCount  para 0x1 .

Captura de tela do nt!_IOring_OBJECT acionando o bug pela primeira vez

Figura 20 – nt!_IORING_OBJECT acionando o bug pela primeira vez

E no segundo gatilho, definimos RegBuffers para um endereço que pode ser alocado no espaço do usuário (como 0x0000000100000000).

Captura de tela do nt!_IOring_OBJECT acionando o bug pela segunda vez

Figura 21 – nt!_IORING_OBJECT acionando o bug pela segunda vez

Resta apenas enfileirar as operações de E/S escrevendo ponteiros para forjarnt!_IOP_MC_BUFFER_ENTRY  estruturas no endereço do espaço do usuário (0x100000000 ). O número de entradas deve ser igual a RegBuffersCount . Esse processo é destacado no diagrama abaixo.

Diagrama criado para a postagem do blog

Figura 22 — configurando o espaço do usuário para a primitiva R/W do kernel I/O Ring

Um desses nt!_IOP_MC_BUFFER_ENTRY  é mostrado na captura de tela abaixo. Observe que o destino da operação é um endereço de kernel (0xfffff8052831da20 ) e que o tamanho da operação, nesse caso, é 0x8  bytes. Não é possível determinar pela estrutura se esta é uma operação de leitura ou de escrita. A direção da operação depende de qual API foi usada para enfileirar a solicitação de E/S. O uso de kernelbase!BuildIoRingReadFile resulta em uma escrita arbitrária do kernel e kernelbase!BuildIoRingWriteFile  resulta em uma leitura arbitrária do kernel.

Captura de tela feita para a postagem do blog

Figura 23 – exemplo de operação falsa de I/O Ring

Para realizar uma escrita arbitrária, uma operação de E/S é encarregada de ler dados de um manipulador de arquivo e escrever esses dados em um endereço de Kernel.

Diagrama criado para a postagem do blog

Figura 24 – escrita arbitrária de I/O Ring

Por outro lado, para realizar uma leitura arbitrária, uma operação de E/S é encarregada de ler dados em um endereço de kernel e escrever esses dados em um identificador de arquivo.

Diagrama da leitura arbitrária de I/O Ring

Figura 25 - leitura arbitrária de I/O Ring

Demonstração

Com a configuração primitiva, tudo o que resta é usar algumas técnicas padrão do kernel pós-invasão para vazar o token de um processo elevado como System (PID 4) e sobrescrever o token de um processo diferente.

Invasão em diversos contextos

Após a divulgação pública do nosso código de exploração, Xiaoliang Liu (@flame36987044) do 360 Icesword Lab divulgou publicamente pela primeira vez que descobriu uma amostra que explora essa vulnerabilidade em ambiente real (ITW) no início deste ano. A técnica utilizada pela amostra ITW é diferente da nossa. O invasor dispara a vulnerabilidade usando a função de API do Winsock correspondente, ProcessSocketNotifications , em vez de chamar o afd.sys driver diretamente, como na nossa exploração.

A declaração oficial do 360 Icesword Lab é a seguinte:

“O 360 IceSword Lab se concentra na detecção e defesa de APT. Com base em nosso sistema de radar de vulnerabilidades 0day, descobrimos uma amostra de exploração da CVE-2023-21768 em atividade em janeiro deste ano, que difere das explorações anunciadas por @chompie1337 e @FuzzySec, por ser explorada por meio de mecanismos do sistema e funcionalidades de vulnerabilidade. A exploração está relacionada a NtSetIoCompletion e ProcessSocketNotifications , ProcessSocketNotifications recebe o número de vezes NtSetIoCompletion é chamado, então usamos isso para alterar a contagem de privilégios."

Conclusão e considerações finais

Você pode notar que, em algumas partes da engenharia reversa, nossa análise é superficial. Às vezes, é útil observar apenas algumas mudanças de estado relevantes e tratar partes do programa como uma espécie de "caixa-preta", para evitar se perder em detalhes irrelevantes. Isso nos permitiu reverter uma exploração rapidamente, mesmo que maximizar a velocidade de conclusão não fosse nosso objetivo.

Além disso, realizamos uma avaliação comparativa de patches de todas as vulnerabilidades relatadas emafd.sys indicada como “invasão mais provável”. Nossa avaliação revelou que todas as vulnerabilidades, exceto duas, foram resultados da validação inadequada de ponteiros transmitidos pelo modo de usuário. Isso mostra que ter um conhecimento histórico das vulnerabilidades passadas, particularmente dentro de um alvo específico, pode ser útil para encontrar novas vulnerabilidades. Quando a base de código é expandida, é provável que os mesmos erros se repitam. Lembre-se, novo código C == novos bugs 😀. Como evidenciado pela descoberta da vulnerabilidade mencionada acima, é seguro dizer que os invasores também estão monitorando de perto as novas adições de base de código.

A falta de suporte para Supervisor Mode Access Protection (SMAP) no kernel do Windows nos deixa com inúmeras opções para construir novas primitivas de exploração que visam apenas os dados. Essas primitivas não são viáveis em outros sistemas operacionais que suportam SMAP. Por exemplo, considere a CVE-2021-41073, uma vulnerabilidade na implementação do Linux de buffers pré-registrados de I/O Ring (a mesma funcionalidade que usamos no Windows para uma primitiva R/W). Essa vulnerabilidade pode permitir a substituição de um ponteiro do kernel por um buffer registrado, mas não pode ser usada para construir uma primitiva R/W arbitrária, pois se o ponteiro for substituído por um ponteiro do usuário e o kernel tentar ler ou escrever lá, o sistema falhará.

Apesar dos grandes esforços da Microsoft para eliminar primitivas de exploração populares, certamente novas primitivas serão descobertas para substituí-las. Conseguimos realizar uma exploração da versão mais recente do Windows 11 22H2 sem encontrar mitigações ou restrições das funcionalidades de segurança baseada em virtualização, como HVCI.

