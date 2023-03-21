“周二打补丁，周三便利用”是黑客界的一句老话，它是指在每月安全补丁公开发布后的第二天，便利用漏洞进行攻击。随着安全性的提升以及入侵缓解措施的日益完善，研究和开发武器化入侵所需的工作量也随之增加。这与内存损坏漏洞尤其相关。
图 1—入侵时间线
但是，随着在 Windows 11 内核中添加新功能（以及内存非安全型 C 代码），可能会引入成熟的新攻击面。通过研究新引入的此代码，我们证明可轻松武器化的漏洞仍会经常出现。在此博客文章中，我们将分析并利用 Windows Ancillary Function Driver for Winsock afd.sys 中的某一漏洞，以便在 Windows 11 上实现本地权限提升 (LPE)。虽然我们对此内核模块都没有任何经验，但我们能在大约一天的时间内诊断、重现该漏洞，并将其武器化。您可在此处找到相关利用代码。
根据 Microsoft 安全响应中心 (MSRC) 发布的 CVE-2023-21768 的细节，该漏洞存在于辅助功能驱动程序 (AFD) 中，而其二进制文件名为 afd.sys。AFD 模块是 Winsock API 的内核入口点。通过利用这些信息，我们分析了 2022 年 12 月的驱动程序版本，并将其与 2023 年 1 月新发布的版本进行了比较。这些样本可单独从 Winbindex 获取，而无需耗时地从 Microsoft 补丁中提取变更。分析的两个版本如下所示。
Ghidra 被用于为这两个文件创建二进制导出文件，以便在 BinDiff 中进行比较。匹配函数的概述如下。
图 2—AFD.sys 的二进制文件比较
只有一个函数似乎被更改了：
打补丁前，
图 3—afd!AfdNotifyRemoveIoCompletion 打补丁前
打补丁后，afd.sys 版本 10.0.22621.1105。
图 4—afd!AfdNotifyReMoveIoCompletion 打补丁后
上图所示的此变更是对已确定函数的唯一更新。某些快速分析表明，眼下正根据
为零（表明此调用源自内核）时，则表示某个值将被写入未知结构中某一字段指定的指针内。另一方面，如果
不为零，则会调用 ProbeForWrite 以确保该字段中设置的指针是位于用户模式中的有效地址。
打补丁前的驱动程序版本缺少此项检查。由于该函数有一个针对
的特定 switch 语句，因此假设开发者本打算添加此项检查但忘了这么做（有时我们都缺咖啡 ☕！）。
从此次更新中，我们可推断出攻击者可通过受控值（位于未知结构的
field_0x18
函数原型自身同时包含
值和指向未知结构的指针，以分别作为第一个与第三个参数。
图 5—afd!AfdNotifyRemoveIoCompletion 函数原型
我们现在知道此漏洞的位置，但不知道如何触发存在漏洞代码路径的执行。在开始进行概念验证 (PoC) 之前，我们将完成某些逆向工程。
首先，交叉引用存在漏洞的函数，以了解它的使用地点和方式。
图 6—afd!AfdNotifyRemoveIoCompletion 交叉引用
对存在漏洞的函数进行一次调用是在 中完成的
我们将重复此流程，以寻找对 的交叉引用
图 7—afd!AfdIrpCallDispatch
此表包含 AFD 驱动程序的调度例程。调度例程是通过调用 DeviceIOControl 以用于处理来自 Win32 应用程序的请求。每个函数的控制代码可在 中找到
但是，以上指针不在我们预期的
图 8—afd!AfdIoctlTable
值得注意的是，它是表中的最后一个输入/输出控制 (IOCTL) 代码，从而表明 AfdNotifySock 可能是最近添加到 AFD 驱动程序中的新转移函数。
此时，我们有几个选项。我们可在用户空间中对相应的 Winsock API 进行逆向工程，以便更好地了解底层内核函数是如何调用的，或是对内核代码进行逆向工程并直接对其进行调用。我们其实并不知道哪个 Winsock 函数对应于
我们发现了一些代码（由 x86matthew 发布），而它会通过直接调用 AFD 驱动程序来执行套接字操作，从而不使用 Winsock 库。从隐蔽的角度来看，这很有趣，但就我们的目的而言，它是一个不错的模板，可用于创建 TCP 套接字的句柄，以向 AFD 驱动程序发出 IOCTL 请求。在内核调试过程中，我们在 WinDbg 中设置了一个断点，从而证明我们能访问目标函数。
图 9—afd!AfdNotifySock 断点
现在，我们返回 的函数原型
目前，我们还不知道如何将此数据填充到 lpInBuffer 中，而我们将其称为
我们来逐一了解一下这些检查。
我们遇到的第一个检查是在 的开始阶段
图 10—afd!AfdNotifySock 大小检查
此检查告诉我们
下一检查将验证结构中各字段中的值：
图 11—afd!AfdNotifySock 结构验证
当时我们不知道这些字段对应的内容，于是我们传入一个
我们遇到的下一检查是在调用 ObReferenceObjectByHandle 之后。该函数将输入结构的第一个字段作为第一个参数。
图 12—afd!AfdNotifySock 调用 nt!ObReferenceObjectByHandle
此调用必须返回成功，才能进入正确的代码执行路径，而这意味着我们必须将有效句柄传入
之后，我们遇到了一个循环，而其计数器是结构中的值之一：
图 13—afd!AfdNotifySock 循环
该循环检查了结构中的某一字段，以验证它是否包含有效的用户模式指针并将数据复制到该字段中。该指针在每次循环迭代后都会递增。我们将指针填充为有效地址，并将计数器设为 1。至此，我们终于能访问存在漏洞的函数
图 14—afd!AfdNotifyRemoveIoCompletion 调用
进入
图 15—afd! Afd!AfdNotifyRemoveIoCompletion 字段检查
最后，在到达目标代码之前要通过的最后一个检查是调用
，而它必须返回 0 (
)。
该函数会暂停直到满足以下任一条件：
参数使用
IoCompletionObject
我们通过结构来控制超时值，但仅仅将超时设为 0 并不足以让该函数返回成功。为使此函数正确返回而不出现错误，必须至少有一条可用的完成记录。经过一番研究，我们找到了未注明的函数 NtSetIoCompletion，它可手动递增针对
的 I/O 等待计数器。对我们先前创建的
调用此函数可确保对
的调用返回
。
图 16—afd!AfdNotifyReMoveIoCompletion 检查返回 nt!IoReMoveIoCompletion
既然我们已能访问到存在漏洞的代码，我们便可在结构内相应的字段中填充任意写入地址。我们写入该地址的值来自一个整数，而该整数的指针会传递给对
图 17—nt!KeRemoveQueueEx 返回值
图 18—nt!KeReMoveQueueEx 返回用途
在我们的概念验证中，此写入值始终等于
。我们推测
的返回值为从队列中删除的项目数，但没有进一步调查。至此，我们拥有了所需的原语，并继续完成了漏洞利用链。后来我们确认此猜测正确，而写入值也可通过对
的额外调用（针对
）来任意递增。
由于能在任意内核地址上写入固定值 (0x1)，我们随后将其转化为完整的任意内核读写。由于该漏洞影响最新版本的 Windows 11 22H2，我们选择利用 Windows I/O 环对象损坏来创建原语。Yarden Shafir 撰写了很多关于 Windows I/O 环的精彩文章，还开发和披露了我们在漏洞链中利用的原语。据我们所知，这是该原语首次用于公开漏洞利用。
当用户初始化 I/O 环时，会创建两个独立结构：一个在用户空间，另一个在内核空间。这些结构如下所示。
内核对象会映射到
图 19—nt!_IORING_OBJECT 初始化
请注意，内核对象有两个字段：
在用户空间方面，调用 kernelbase!CreateIoRing 时，成功后会返回一个 I/O 环句柄。该句柄是指向某一未注明结构 (HIORING) 的指针。我们对此结构的定义来自 Yarden Shafir 的研究。
typedef struct _HIORING {
HANDLE handle;
NT_IORING_INFO Info;
ULONG IoRingKernelAcceptedVersion;
PVOID RegBufferArray;
ULONG BufferArraySize;
PVOID Unknown;
ULONG FileHandlesCount;
ULONG SubQueueHead;
ULONG SubQueueTail;
};
如果漏洞（如本博客文章所涉及的漏洞）允许您更新
如上所述，我们可利用该漏洞在我们想要的任意内核地址写入 0x1。要设置 I/O 环原语，我们只需触发该漏洞两次即可。
在第一个触发器中，我们设置了
图 20—nt!_IORING_OBJECT 首次触发该错误
在第二个触发器中，我们将 RegBuffers 设为可在用户空间中分配的地址（例如 0x0000000100000000）。
图 21—nt!_IORING_OBJECT 第二次触发该错误
剩下的便是通过将指针写入伪造的
图 22—为 I/O 环内核读/写原语设置用户空间
一个此类
图 23—示例伪造 I/O 环操作
为了执行任意写入，会安排执行一个 I/O 操作，以从文件句柄读取数据并将其写入内核地址。
图 24—I/O 环任意写入
相反，为了执行任意读取，会安排执行一个 I/O 操作以读取位于内核地址的数据，然后将其写入文件句柄。
图 25—I/O 环任意读取
设置原语后，剩下的便是使用某些标准内核攻击后技术来泄漏 System (PID 4) 等权限提升进程的令牌，并覆盖其他进程的令牌。
在我们公开发布利用代码后，360 Icesword Lab 的 Xiaoliang Liu (@flame36987044) 首次公开披露，他们在今年早些时候发现了在实际使用中 (ITW) 利用该漏洞的样本。ITW 样本使用的技术与我们的不同。攻击者利用相应的 Winsock API 函数
来触发该漏洞，而不是直接调用
驱动程序，就像我们的漏洞利用中那样。
360 Icesword Lab 发表的官方声明如下：
“360 IceSword Lab 专注于 APT 检测和防御。根据我们的 0day 漏洞雷达系统，我们在今年 1 月在实际使用中发现了 CVE-2023-21768 的利用样本，而它与 @chompie1337 和 @FuzzySec 公布的利用的不同之处在于，它是通过系统机制和漏洞功能来利用的。该利用涉及
和
，而
可获取
被调用的次数，因此我们用它来更改权限计数。”
您可能会注意到，在逆向工程的某些部分，我们的分析是粗略的。有时，只观察某些相关的状态变化并将程序的某些部分视为黑匣，有助于避免陷入无关的陷阱。尽管最大限度地提高完成速度并不是我们的目标，但这有助于我们能快速扭转漏洞利用。
此外，我们对所有已报告且
afd.sys
Windows 内核缺乏对监督模式访问保护 (SMAP) 的支持，从而使我们有大量选项可用于构建新的仅数据利用原语。这些原语在支持 SMAP 的其他操作系统中不可行。例如，以 CVE-2021-41073 为例，它是 Linux 实现 I/O 环预注册缓冲区时的一个漏洞（与我们在 Windows 中针对读/写原语所用的功能相同）。此漏洞可能允许覆盖已注册缓冲区的内核指针，但它无法用于构造任意读/写原语；因为如果该指针被用户指针替换，并且内核尝试在此时读取或写入，系统则会崩溃。
尽管 Microsoft 竭尽全力消灭深受喜爱的利用原语，但必然会发现新的利用会取代它们。我们能利用最新版本的 Windows 11 22H2，而不会遇到基于虚拟化的安全功能（例如 HVCI）所带来的任何缓解措施或限制。