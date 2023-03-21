安全

周二打补丁 → 周三便利用：在 24 小时内破解 Windows Ancillary Function Driver for WinSock (afd.sys)

隐私与负责任技术办公室 Leadspace 插图，其中显示有隐私盾牌

作者

Valentina Palmiotti

Head of X-Force Offensive Research (XOR)

IBM

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

“周二打补丁，周三便利用”是黑客界的一句老话，它是指在每月安全补丁公开发布后的第二天，便利用漏洞进行攻击。随着安全性的提升以及入侵缓解措施的日益完善，研究和开发武器化入侵所需的工作量也随之增加。这与内存损坏漏洞尤其相关。

为此博客文章制作的屏幕截图

图 1—入侵时间线

但是，随着在 Windows 11 内核中添加新功能（以及内存非安全型 C 代码），可能会引入成熟的新攻击面。通过研究新引入的此代码，我们证明可轻松武器化的漏洞仍会经常出现。在此博客文章中，我们将分析并利用 Windows Ancillary Function Driver for Winsock afd.sys 中的某一漏洞，以便在 Windows 11 上实现本地权限提升 (LPE)。虽然我们对此内核模块都没有任何经验，但我们能在大约一天的时间内诊断、重现该漏洞，并将其武器化。您可在此处找到相关利用代码。

补丁差异与根本原因分析

根据 Microsoft 安全响应中心 (MSRC) 发布的 CVE-2023-21768 的细节，该漏洞存在于辅助功能驱动程序 (AFD) 中，而其二进制文件名为 afd.sys。AFD 模块是 Winsock API 的内核入口点。通过利用这些信息，我们分析了 2022 年 12 月的驱动程序版本，并将其与 2023 年 1 月新发布的版本进行了比较。这些样本可单独从 Winbindex 获取，而无需耗时地从 Microsoft 补丁中提取变更。分析的两个版本如下所示。

  • AFD.sys / Windows 11 22H2 / 10.0.22621.608（2022 年 12 月）
  • AFD.sys / Windows 11 22H2 / 10.0.22621.1105（2023 年 1 月）

Ghidra 被用于为这两个文件创建二进制导出文件，以便在 BinDiff 中进行比较。匹配函数的概述如下。

为 AFD.sys 的二进制文件比较制作的屏幕截图

图 2—AFD.sys 的二进制文件比较

只有一个函数似乎被更改了： afd!AfdNotifyRemoveIoCompletion 。它大大加快了我们对漏洞的分析速度。然后，我们对这两个函数进行了比较。以下屏幕截图显示了在 Binary Ninja 中查看反编译代码时在打补丁之前与之后更改的代码。

打补丁前， afd.sys version 10.0.22621.608

为此博客文章制作的屏幕截图

图 3—afd!AfdNotifyRemoveIoCompletion 打补丁前

打补丁后，afd.sys 版本 10.0.22621.1105。

为此博客文章制作的屏幕截图

图 4—afd!AfdNotifyReMoveIoCompletion 打补丁后

上图所示的此变更是对已确定函数的唯一更新。某些快速分析表明，眼下正根据 PreviousMode 进行检查。如果 PreviousMode 为零（表明此调用源自内核）时，则表示某个值将被写入未知结构中某一字段指定的指针内。另一方面，如果 PreviousMode 不为零，则会调用 ProbeForWrite 以确保该字段中设置的指针是位于用户模式中的有效地址。

打补丁前的驱动程序版本缺少此项检查。由于该函数有一个针对 PreviousMode 的特定 switch 语句，因此假设开发者本打算添加此项检查但忘了这么做（有时我们都缺咖啡 ☕！）。

从此次更新中，我们可推断出攻击者可通过受控值（位于未知结构的field_0x18 ）访问此代码路径。如果攻击者能用内核地址填充此字段，则可创建任意内核 Write-Where 原语。目前还不清楚写入的是什么值，但任何值都有可能用于本地权限提升原语。

函数原型自身同时包含 PreviousMode 值和指向未知结构的指针，以分别作为第一个与第三个参数。

为 afd!AfdNotifyRemoveIoCompletion 函数原型制作的屏幕截图

图 5—afd!AfdNotifyRemoveIoCompletion 函数原型

逆向工程

我们现在知道此漏洞的位置，但不知道如何触发存在漏洞代码路径的执行。在开始进行概念验证 (PoC) 之前，我们将完成某些逆向工程。

首先，交叉引用存在漏洞的函数，以了解它的使用地点和方式。

为 afd!AfdNotifyRemoveIoCompletion 交叉引用制作的屏幕截图

图 6—afd!AfdNotifyRemoveIoCompletion 交叉引用

对存在漏洞的函数进行一次调用是在 中完成的afd!AfdNotifySock

我们将重复此流程，以寻找对 的交叉引用AfdNotifySock 。我们发现没有针对该函数的直接调用，但其地址出现在名为 的函数指针表上方 AfdIrpCallDispatch

为 afd!AfdIrpCallDispatch 制作的屏幕截图

图 7—afd!AfdIrpCallDispatch

此表包含 AFD 驱动程序的调度例程。调度例程是通过调用 DeviceIOControl 以用于处理来自 Win32 应用程序的请求。每个函数的控制代码可在 中找到AfdIoctlTable

但是，以上指针不在我们预期的 AfdIrpCallDispatch  表中。从 Steven VittitoeRecon 演讲幻灯片中，我们发现 AFD 实际上有两个转移表。第二个是 AfdImmediateCallDispatch 。通过计算此表的开头与存储 AfdNotifySock  指针的位置之间的距离，我们可将索引值计算到 AfdIoctlTable  中，而它表明该函数的控制代码为 0x12127

为 afd!AfdIoctlTable 制作的屏幕截图

图 8—afd!AfdIoctlTable

值得注意的是，它是表中的最后一个输入/输出控制 (IOCTL) 代码，从而表明 AfdNotifySock 可能是最近添加到 AFD 驱动程序中的新转移函数。

此时，我们有几个选项。我们可在用户空间中对相应的 Winsock API 进行逆向工程，以便更好地了解底层内核函数是如何调用的，或是对内核代码进行逆向工程并直接对其进行调用。我们其实并不知道哪个 Winsock 函数对应于 AfdNotifySock ，因此我们选择执行后者。

我们发现了一些代码（由 x86matthew 发布），而它会通过直接调用 AFD 驱动程序来执行套接字操作，从而不使用 Winsock 库。从隐蔽的角度来看，这很有趣，但就我们的目的而言，它是一个不错的模板，可用于创建 TCP 套接字的句柄，以向 AFD 驱动程序发出 IOCTL 请求。在内核调试过程中，我们在 WinDbg 中设置了一个断点，从而证明我们能访问目标函数。

为 afd!AfdNotifySock 断点制作的屏幕截图

图 9—afd!AfdNotifySock 断点

现在，我们返回 的函数原型DeviceIoControl ，并通过它从用户空间调用 AFD 驱动程序。其中一个参数 lpInBuffer 为用户模式缓冲区。如前一节所述，此漏洞的发生是因为用户能在未知数据结构中将未验证的指针传递给驱动程序。该结构是通过 lpInBuffer 参数直接从我们的用户模式应用程序传入的。它会传递到 AfdNotifySock  以作为第四个参数，同时还会传递到 AfdNotifyRemoveIoCompletion  以作为第三个参数。

目前，我们还不知道如何将此数据填充到 lpInBuffer 中，而我们将其称为 AFD_NOTIFYSOCK_STRUCT 以便在 中传递访问存在漏洞代码路径所需的检查AfdNotifyRemoveIoCompletion 。逆向工程流程的其余部分包括遵循执行流程并研究如何访问存在漏洞的代码。

我们来逐一了解一下这些检查。

我们遇到的第一个检查是在 的开始阶段AfdNotifySock

为 afd!AfdNotifySock 大小检查制作的屏幕截图

图 10—afd!AfdNotifySock 大小检查

此检查告诉我们 AFD_NOTIFYSOCK_STRUCT  的大小应等于 0x30  个字节，否则此函数将失败并返回 STATUS_INFO_LENGTH_MISMATCH

下一检查将验证结构中各字段中的值：

afd!AfdNotifySock 结构验证

图 11—afd!AfdNotifySock 结构验证

当时我们不知道这些字段对应的内容，于是我们传入一个 0x30  字节数组，且其中填充有 0x41  个字节（AAAAAAAAA... ）。

我们遇到的下一检查是在调用 ObReferenceObjectByHandle 之后。该函数将输入结构的第一个字段作为第一个参数。

为此博客文章制作的屏幕截图

图 12—afd!AfdNotifySock 调用 nt!ObReferenceObjectByHandle

此调用必须返回成功，才能进入正确的代码执行路径，而这意味着我们必须将有效句柄传入 IoCompletionObject 。目前尚无官方文档记载的通过 Win32 API 创建此类型对象的方法。但经过一番搜索，我们找到一个未注明的 NT 函数 NtCreateIoCompletion，而它能完成此工作。

之后，我们遇到了一个循环，而其计数器是结构中的值之一：

为 afd!AfdNotifySock 循环制作的屏幕截图

图 13—afd!AfdNotifySock 循环

该循环检查了结构中的某一字段，以验证它是否包含有效的用户模式指针并将数据复制到该字段中。该指针在每次循环迭代后都会递增。我们将指针填充为有效地址，并将计数器设为 1。至此，我们终于能访问存在漏洞的函数 AfdNotifyRemoveIoCompletion

为 afd!AfdNotifyReMoveIoCompletion 调用制作的屏幕截图

图 14—afd!AfdNotifyRemoveIoCompletion 调用

进入 AfdNotifyRemoveIoCompletion 后，第一个检查针对的是结构中的另一个字段。它必须为非零。然后，会将其乘以 0x20，再传递到 ProbeForWrite  以及结构中的另一个字段以作为指针参数。从此时开始，我们便可使用有效的用户模式指针进一步填充该结构 (pData2 ) 且字段 dwLen = 1（因而传递给 ProbeForWrite  的总大小等于 0x20），同时这些检查均会通过。

为 afd! Afd!AfdNotifyRemoveIoCompletion 字段检查制作的屏幕截图

图 15—afd! Afd!AfdNotifyRemoveIoCompletion 字段检查

最后，在到达目标代码之前要通过的最后一个检查是调用 IoRemoveCompletion ，而它必须返回 0 (STATUS_SUCCESS )。

该函数会暂停直到满足以下任一条件：

  • 完成记录变为可供 IoCompletionObject 参数使用
  • 超时到期，从而作为此函数的参数传入

我们通过结构来控制超时值，但仅仅将超时设为 0 并不足以让该函数返回成功。为使此函数正确返回而不出现错误，必须至少有一条可用的完成记录。经过一番研究，我们找到了未注明的函数 NtSetIoCompletion，它可手动递增针对 IoCompletionObject 的 I/O 等待计数器。对我们先前创建的 IoCompletionObject 调用此函数可确保对 IoRemoveCompletion 的调用返回 STATUS_SUCCESS

为此博客文章制作的屏幕截图

图 16—afd!AfdNotifyReMoveIoCompletion 检查返回 nt!IoReMoveIoCompletion

触发任意 write-where

既然我们已能访问到存在漏洞的代码，我们便可在结构内相应的字段中填充任意写入地址。我们写入该地址的值来自一个整数，而该整数的指针会传递给对 IoRemoveIoCompletion 的调用。IoRemoveIoCompletion  将此整数的值设置为 调用的返回值KeRemoveQueueEx

为此博客文章制作的屏幕截图

图 17—nt!KeRemoveQueueEx 返回值

为此博客文章制作的屏幕截图

图 18—nt!KeReMoveQueueEx 返回用途

在我们的概念验证中，此写入值始终等于 0x1 。我们推测 KeRemoveQueueEx 的返回值为从队列中删除的项目数，但没有进一步调查。至此，我们拥有了所需的原语，并继续完成了漏洞利用链。后来我们确认此猜测正确，而写入值也可通过对NtSetIoCompletion 的额外调用（针对）来任意递增IoCompletionObject

带 IORING 的 LPE

由于能在任意内核地址上写入固定值 (0x1)，我们随后将其转化为完整的任意内核读写。由于该漏洞影响最新版本的 Windows 11 22H2，我们选择利用 Windows I/O 对象损坏来创建原语。Yarden Shafir 撰写了很多关于 Windows I/O 环的精彩文章，还开发和披露了我们在漏洞链中利用的原语。据我们所知，这是该原语首次用于公开漏洞利用。

当用户初始化 I/O 环时，会创建两个独立结构：一个在用户空间，另一个在内核空间。这些结构如下所示。

内核对象会映射到 nt!_IORING_OBJECT  ，如下所示。

为此博客文章制作的屏幕截图

图 19—nt!_IORING_OBJECT 初始化

请注意，内核对象有两个字段： RegBuffersCount 以及RegBuffers ，初始化时这两个字段均为零。该计数指示可为 I/O 环进行排队的 I/O 操作数量。另一个参数是指向当前排队的操作列表的指针。

在用户空间方面，调用 kernelbase!CreateIoRing 时，成功后会返回一个 I/O 环句柄。该句柄是指向某一未注明结构 (HIORING) 的指针。我们对此结构的定义来自 Yarden Shafir 的研究。

typedef struct _HIORING {

    HANDLE handle;

    NT_IORING_INFO Info;

    ULONG IoRingKernelAcceptedVersion;

    PVOID RegBufferArray;

    ULONG BufferArraySize;

    PVOID Unknown;

    ULONG FileHandlesCount;

    ULONG SubQueueHead;

    ULONG SubQueueTail;

};

如果漏洞（如本博客文章所涉及的漏洞）允许您更新 RegBuffersCount 以及RegBuffers  字段，则可使用标准 I/O 环 API 来读取和写入内核内存。

如上所述，我们可利用该漏洞在我们想要的任意内核地址写入 0x1。要设置 I/O 环原语，我们只需触发该漏洞两次即可。

在第一个触发器中，我们设置了 RegBufferCount  到 的 SQL 链接0x1

nt!_IORING_OBJECT 首次触发该错误时截取的屏幕截图

图 20—nt!_IORING_OBJECT 首次触发该错误

在第二个触发器中，我们将 RegBuffers 设为可在用户空间中分配的地址（例如 0x0000000100000000）。

nt!_IORING_OBJECT 第二次触发该错误时截取的屏幕截图

图 21—nt!_IORING_OBJECT 第二次触发该错误

剩下的便是通过将指针写入伪造的nt!_IOP_MC_BUFFER_ENTRY  结构（位于用户空间地址 (0x100000000 ））来对 I/O 操作进行排队。条目数量应等于 RegBuffersCount 。此流程在下图中有突出显示。

为此博客文章绘制的示意图

图 22—为 I/O 环内核读/写原语设置用户空间

一个此类 nt!_IOP_MC_BUFFER_ENTRY  如以下屏幕截图所示。请注意，此操作的目标是内核地址 (0xfffff8052831da20 )；而在本例中，此操作的大小为 0x8  个字节。无法从结构中判断这是读取还是写入操作。此操作的方向取决于用于对 I/O 请求进行排队的 API。使用 kernelbase!BuildIoRingReadFile 会导致任意内核写入和 kernelbase!BuildIoRingWriteFile 任意内核读取。

为此博客文章制作的屏幕截图

图 23—示例伪造 I/O 环操作

为了执行任意写入，会安排执行一个 I/O 操作，以从文件句柄读取数据并将其写入内核地址。

为此博客文章绘制的示意图

图 24—I/O 环任意写入

相反，为了执行任意读取，会安排执行一个 I/O 操作以读取位于内核地址的数据，然后将其写入文件句柄。

为 I/O 环任意读取制作的示意图

图 25—I/O 环任意读取

演示

设置原语后，剩下的便是使用某些标准内核攻击后技术来泄漏 System (PID 4) 等权限提升进程的令牌，并覆盖其他进程的令牌。

实际使用中的利用

在我们公开发布利用代码后，360 Icesword Lab 的 Xiaoliang Liu (@flame36987044) 首次公开披露，他们在今年早些时候发现了在实际使用中 (ITW) 利用该漏洞的样本。ITW 样本使用的技术与我们的不同。攻击者利用相应的 Winsock API 函数 ProcessSocketNotifications 来触发该漏洞，而不是直接调用 afd.sys 驱动程序，就像我们的漏洞利用中那样。

360 Icesword Lab 发表的官方声明如下：

“360 IceSword Lab 专注于 APT 检测和防御。根据我们的 0day 漏洞雷达系统，我们在今年 1 月在实际使用中发现了 CVE-2023-21768 的利用样本，而它与 @chompie1337@FuzzySec 公布的利用的不同之处在于，它是通过系统机制和漏洞功能来利用的。该利用涉及 NtSetIoCompletion ProcessSocketNotifications ，而 ProcessSocketNotifications 可获取 NtSetIoCompletion 被调用的次数，因此我们用它来更改权限计数。”

行业时事通讯

辅以专家洞察分析的最新科技新闻

通过 Think 时事通讯，了解有关 AI、自动化、数据等方面最重要且最有趣的行业趋势。请参阅 IBM 隐私声明

谢谢！您已订阅。

您的订阅将以英语提供。每份时事通讯都包含取消订阅链接。您可以在此管理您的订阅或取消订阅。更多相关信息，请参阅我们的 IBM 隐私声明

结论和最后思考

您可能会注意到，在逆向工程的某些部分，我们的分析是粗略的。有时，只观察某些相关的状态变化并将程序的某些部分视为黑匣，有助于避免陷入无关的陷阱。尽管最大限度地提高完成速度并不是我们的目标，但这有助于我们能快速扭转漏洞利用。

此外，我们对所有已报告且afd.sys 表示为“利用的可能性更高”的漏洞进行了补丁差异审查。我们的评论显示，除其中两个漏洞外，所有漏洞均由用户模式输入的指针验证不当所致。这表明，通过掌握过去漏洞的历史知识，尤其是特定目标中的漏洞，对发现新漏洞大有裨益。当代码库扩大时，同样的错误很可能会重演。请记住，新的 C 代码 == 新的错误 😀。上述漏洞在实际使用中的利用的发现就证明了这一点；可以肯定地说，攻击者正在密切监控新添加的代码库。

Windows 内核缺乏对监督模式访问保护 (SMAP) 的支持，从而使我们有大量选项可用于构建新的仅数据利用原语。这些原语在支持 SMAP 的其他操作系统中不可行。例如，以 CVE-2021-41073 为例，它是 Linux 实现 I/O 环预注册缓冲区时的一个漏洞（与我们在 Windows 中针对读/写原语所用的功能相同）。此漏洞可能允许覆盖已注册缓冲区的内核指针，但它无法用于构造任意读/写原语；因为如果该指针被用户指针替换，并且内核尝试在此时读取或写入，系统则会崩溃。

尽管 Microsoft 竭尽全力消灭深受喜爱的利用原语，但必然会发现新的利用会取代它们。我们能利用最新版本的 Windows 11 22H2，而不会遇到基于虚拟化的安全功能（例如 HVCI）所带来的任何缓解措施或限制。

Mixture of Experts | 12 月 12 日，第 85 集

解码 AI：每周新闻摘要

加入我们世界级的专家小组——工程师、研究人员、产品负责人等将为您甄别 AI 领域的真知灼见，带来最新的 AI 资讯与深度解析。
观看 Mixture of Experts 所有剧集