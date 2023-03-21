Você pode notar que, em algumas partes da engenharia reversa, nossa análise é superficial. Às vezes, é útil observar apenas algumas mudanças de estado relevantes e tratar partes do programa como uma espécie de "caixa-preta", para evitar se perder em detalhes irrelevantes. Isso nos permitiu reverter uma exploração rapidamente, mesmo que maximizar a velocidade de conclusão não fosse nosso objetivo.

Além disso, realizamos uma avaliação comparativa de patches de todas as vulnerabilidades relatadas em afd.sys indicada como “invasão mais provável”. Nossa avaliação revelou que todas as vulnerabilidades, exceto duas, foram resultados da validação inadequada de ponteiros transmitidos pelo modo de usuário. Isso mostra que ter um conhecimento histórico das vulnerabilidades passadas, particularmente dentro de um alvo específico, pode ser útil para encontrar novas vulnerabilidades. Quando a base de código é expandida, é provável que os mesmos erros se repitam. Lembre-se, novo código C == novos bugs 😀. Como evidenciado pela descoberta da vulnerabilidade mencionada acima, é seguro dizer que os invasores também estão monitorando de perto as novas adições de base de código.

A falta de suporte para Supervisor Mode Access Protection (SMAP) no kernel do Windows nos deixa com inúmeras opções para construir novas primitivas de exploração que visam apenas os dados. Essas primitivas não são viáveis em outros sistemas operacionais que suportam SMAP. Por exemplo, considere a CVE-2021-41073, uma vulnerabilidade na implementação do Linux de buffers pré-registrados de I/O Ring (a mesma funcionalidade que usamos no Windows para uma primitiva R/W). Essa vulnerabilidade pode permitir a substituição de um ponteiro do kernel por um buffer registrado, mas não pode ser usada para construir uma primitiva R/W arbitrária, pois se o ponteiro for substituído por um ponteiro do usuário e o kernel tentar ler ou escrever lá, o sistema falhará.

Apesar dos grandes esforços da Microsoft para eliminar primitivas de exploração populares, certamente novas primitivas serão descobertas para substituí-las. Conseguimos realizar uma exploração da versão mais recente do Windows 11 22H2 sem encontrar mitigações ou restrições das funcionalidades de segurança baseada em virtualização, como HVCI.