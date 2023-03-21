„Patch Tuesday, Exploit Wednesday“ ist ein altes Hacker-Sprichwort, das sich auf die Ausnutzung von Sicherheitslücken am Tag nach der Veröffentlichung der monatlichen Sicherheitspatches bezieht. Mit der Verbesserung der Sicherheit und der zunehmenden Komplexität der Maßnahmen zur Abwehr von Sicherheitslücken hat sich auch der Forschungs- und Entwicklungsaufwand für die Entwicklung eines ausnutzbaren Exploits erhöht. Dies ist besonders relevant für Schwachstellen mit Blick auf Speicherbeschädigung.
Abbildung 1 – Zeitlicher Ablauf der Ausbeutung
Mit der Einführung neuer Funktionen (und speicherunsicherem C-Code) im Windows-11-Kernel können jedoch neue Angriffsflächen eingeführt werden. Indem wir diesen neu eingeführten Code genauer unter die Lupe nehmen, zeigen wir, dass Schwachstellen, die mit einfachen Mitteln als Waffe eingesetzt werden können, immer noch häufig auftreten. In diesem Blogbeitrag analysieren und ausnutzen wir eine Schwachstelle im Windows Ancillary Function Treiber für Winsock, afd.sys, für Local Privilege Escalation (LPE) auf Windows 11. Obwohl wir beide keine Erfahrung mit diesem Kernel-Modul hatten, konnten wir die Schwachstelle innerhalb eines Tages diagnostizieren, reproduzieren und als Waffe einsetzen. Den ausnutzen-Code finden Sie hier.
Basierend auf den Details von CVE-2023-21768, veröffentlicht vom Microsoft Security Response Center (MSRC), liegt die Schwachstelle im Ancillary Function Treiber (AFD), dessen binärer Dateiname afd.sys lautet. Das AFD-Modul ist der Kernel-Einstiegspunkt für die Winsock-API. Mit diesen Informationen haben wir die Treiber-Version vom Dezember 2022 analysiert und mit der neu im Januar 2023 veröffentlichten Version verglichen. Diese Proben können einzeln aus Winbindex abgerufen werden, ohne den zeitaufwändigen Prozess, Änderungen aus Microsoft-Patches zu extrahieren. Die beiden analysierten Versionen sind unten dargestellt.
Ghidra wurde verwendet, um Binärexporte für beide Dateien zu erstellen, damit sie in BinDiff verglichen werden konnten. Eine Übersicht der passenden Funktionen wird unten angezeigt.
Abbildung 2 – Binärer Vergleich von AFD.sys
Nur eine Funktion scheint geändert worden zu sein,
Pre-Patch,
Abbildung 3 – afd!AfdNotifyRemoveIoCompletion Pre-Patch
Nach dem Patch afd.sys-Version 10.0.22621.1105.
Abbildung 4 – afd!AfdNotifyReMoveIoCompletion nach dem Patch
Diese oben gezeigte Änderung ist die einzige Aktualisierung der identifizierten Funktion. Eine schnelle Analyse zeigte, dass eine Überprüfung durchgeführt wird, basierend auf
Wenn hingegen
nicht null ist, wird ProbeForWrite aufgerufen, um sicherzustellen, dass der im Feld angegebene Zeiger eine gültige Adresse ist, die sich im Benutzermodus befindet.
Diese Prüfung fehlt in der Pre-Patch-Version des Treibers. Da die Funktion eine spezifische Switch-Anweisung für
, wir gehen davon aus, dass der Entwickler diese Überprüfung hinzufügen wollte, ihn aber vergessen hat (manchmal fehlt uns allen der Kaffee ☕!).
Aus diesem Update lässt sich schließen, dass ein Angreifer diesen Codepfad erreichen kann mit einem kontrollierten Wert von
field_0x18
Der Funktionsprototyp selbst enthält sowohl den
Wert und einen Zeiger auf die unbekannte Struktur als erstes bzw. drittes Argument .
Abbildung 5 — afd!AfdNotifyRemoveIoCompletion function prototype
Wir kennen nun den Standort der Schwachstelle, aber nicht, wie man die Ausführung des verwundbaren Codepfads auslöst. Bevor wir mit der Arbeit an einem Proof-of-Concept (PoC) beginnen, werden wir einige Reverse-Engineering-Analysen durchführen.
Zunächst wurde die anfällige Funktion mit Querverweisen untersucht, um zu verstehen, wo und wie sie eingesetzt wurde.
Abbildung 6 – afd!AfdNotifyRemoveIoCompletion Querverweise
Ein einziger Aufruf an die anfällige Funktion erfolgt in
Wir wiederholen den Vorgang und suchen nach Querverweisen auf
Abbildung 7 – afd!AfdIrpCallDispatch
Diese Tabelle enthält die Versandroutinen für den AFD-Treiber. Dispatch-Routinen werden verwendet, um Anfragen von Win32-Anwendungen zu bearbeiten, indem DeviceIoControl aufgerufen wird. Der Steuercode für jede Funktion befindet sich in
Der obige Zeiger befindet sich jedoch nicht innerhalb der
Abbildung 8 – afd!AfdIoctlTable
Es ist erwähnenswert, dass es sich um den letzten Input/Output-Control-Code (IOCTL) in der Tabelle handelt, was darauf hindeutet, dass AfdNotifySock wahrscheinlich eine neue Dispatch-Funktion ist, die kürzlich zum AFD-Treiber hinzugefügt wurde.
Zu diesem Zeitpunkt hatten wir mehrere Möglichkeiten. Wir könnten die entsprechende Winsock-API in einem Benutzerbereich reverse-engineern, um besser zu verstehen, wie die zugrunde liegende Kernel-Funktion aufgerufen wurde, oder den Kernel-Code reverse engineern und direkt darauf zugreifen. Wir wussten eigentlich nicht, welche Winsock-Funktion dazu gehörte,
Wir stießen auf einen von x86matthew veröffentlichten Code, der Socket-Operationen direkt durch Aufruf des AFD-Treibers ausführt und dabei auf die Winsock-Bibliothek verzichtet. Dies ist aus der Perspektive der Tarnung interessant, aber für unsere Zwecke ist es eine gute Vorlage, um einen Handle zu einem TCP-Socket zu erstellen, um IOCTL-Anfragen an den AFD-Treiber zu senden. Von dort aus waren wir in der Lage, die Zielfunktion zu erreichen, wie das Erreichen eines in WinDbg gesetzten Breakpoints beim Kernel-Debugging zeigte.
Abbildung 9 — afd!AfdNotifySock breakpoint
Gehen Sie nun zurück zum Funktionsprototyp für
Zu diesem Zeitpunkt wissen wir noch nicht, wie wir die Daten in lpInBuffer füllen sollen, die wir aufrufen
Gehen wir die einzelnen Prüfungen durch.
Die erste Überprüfung findet am Anfang von
Abbildung 10 – Größenprüfung von afd!AfdNotifySock
Diese Überprüfung zeigt uns, dass die Größe der
Die nächste Prüfung validiert Werte in verschiedenen Feldern unserer Struktur:
Abbildung 11 – Validierung der afd!AfdNotifySock-Struktur
Zu dem Zeitpunkt wussten wir nicht, wofür eines der Felder steht, also geben wir eine
Der nächste Check, dem wir begegnen, erfolgt nach einem Aufruf zu ObReferenceObjectByHandle. Diese Funktion nimmt das erste Feld unserer Eingabestruktur als ihr erstes Argument.
Abbildung 12 – afd!AfdNotifySock Aufruf nt!ObReferenceObjectByHandle
Der Aufruf muss erfolgreich sein, damit der korrekte Code ausgeführt werden kann. Das bedeutet, dass wir ein gültiges Handle an einen solchen Aufruf übergeben müssen.
Anschließend erreichen wir eine Schleife, deren Zähler einer der Werte aus unserer Struktur war:
Abbildung 13 – afd!AfdNotifySock-Schleife
Diese Schleife prüft ein Feld aus unserer Struktur, um sicherzustellen, dass es einen gültigen Benutzermoduszeiger enthielt, und kopierte Daten dorthin. Der Zeiger wird nach jeder Iteration der Schleife erhöht. Wir haben die Zeiger mit gültigen Adressen gefüllt und den Zähler auf 1 gesetzt. Von hier aus konnten wir schließlich die verwundbare Funktion erreichen
Abbildung 14 – afd!AfdNotifyRemoveIoCompletion-Aufruf
So bald man drinnen ist
Abbildung 15 — afd! Afd!AfdNotifyRemoveIoCompletion Feldüberprüfung
Die letzte Prüfung, die vor dem Erreichen des Zielcodes durchgeführt werden muss, ist ein Aufruf von
der 0 ergeben muss (
).
Diese Funktion wird blockiert, bis eine der folgenden Bedingungen erfüllt ist:
Parameter verfügbar
IoCompletionObject
Wir steuern den Timeout-Wert über unsere Struktur, aber ein einfaches Timeout von 0 reicht nicht aus, damit die Funktion erfolgreich ist. Damit diese Funktion fehlerfrei zurückgegeben wird, muss mindestens ein Vervollständigungseintrag verfügbar sein. Nach einiger Forschung fanden wir die nicht dokumentierte Funktion NtSetIoCompletion, die den I/O-Pending Counter manuell ausführt auf einem
. Aufruf dieser Funktion auf dem
das wir zuvor erstellt haben, stellt sicher, dass der Aufruf von
ergibt
.
Abbildung 16 - afd!AfdNotifyRemoveIoCompletion check return nt!IoRemoveIoCompletion
Nachdem wir nun den angreifbaren Code erreichen können, können wir das entsprechende Feld in unserer Struktur mit einer beliebigen Adresse füllen, an die geschrieben werden soll. Der Wert, den wir an die Adresse schreiben, stammt von einer Ganzzahl, deren Zeiger an den Aufruf übergeben wird.
Abbildung 17 – nt!KeRemoveQueueEx return value
Abbildung 18 — nt!KeRemoveQueueEx return use
In unserem Proof of Concept ist dieser Schreibwert immer gleich
. Wir haben spekuliert, dass das Ergebnis von
Zu diesem Zeitpunkt hatten wir das Primitivum, das wir brauchten, und konnten die Ausnutzungskette abschließen. Wir haben später bestätigt, dass diese Vermutung richtig war, und der Schreibwert kann durch zusätzliche Aufrufe von
auf der
.
Mit der Fähigkeit, einen festen Wert (0x1) an eine beliebige Kernel-Adresse zu schreiben, haben wir daraus einen vollständigen beliebigen Kernel mit Lese-/Schreibzugriff gemacht. Da diese Schwachstelle die neuesten Versionen von Windows 11 (22H2) betrifft, haben wir uns entschieden, eine Korruption des Windows I/O-Ringobjekts zu nutzen, um unser Primitiv zu schaffen. Yarden Shafir hat eine Reihe ausgezeichneter Beiträge über Windows-I/O-Ringe geschrieben und auch das Primitiv entwickelt, das wir in unserer Exploit-Kette genutzt haben. Soweit uns bekannt ist, ist dies der erste Fall, in dem dieses Primitivum in einem öffentlichen Ausnutzen verwendet wurde.
Wenn ein I/O-Ring von einem Benutzer initialisiert wird, werden zwei separate Strukturen erstellt, eine im Benutzerbereich und eine im Kernel-Speicher. Diese Strukturen sind unten abgebildet.
Das Kernel-Objekt entspricht
Abbildung 19 – Initialisierung von nt!_IORING_OBJECT
Beachten Sie, dass das Kernel-Objekt zwei Felder besitzt.
Auf der Benutzerseite erhält man beim Aufruf von kernelbase!CreateIoRing im Erfolgsfall ein I/O-Ring-Handle zurück. Dieser Handle ist ein Zeiger auf eine undokumentierte Struktur (HIORING). Unsere Definition dieser Struktur stammt aus der Forschung von Yarden Shafir.
typedef struct _HIORING {
HANDLE handle;
NT_IORING_INFO Info;
ULONG IoRingKernelAcceptedVersion;
PVOID RegBufferArray;
ULONG BufferArraySize;
PVOID Unknown;
ULONG FileHandlesCount;
ULONG SubQueueHead;
ULONG SubQueueTail;
};
Wenn eine Sicherheitslücke, wie die in diesem Blog-Beitrag behandelte, es Ihnen ermöglicht, die
Wie wir oben gesehen haben, können wir die Sicherheitslücke ausnutzen, um an jeder beliebigen Kernel-Adresse 0x1 zu schreiben. Um den I/O-Ring-Primitiv einzurichten, können wir die Schwachstelle einfach zweimal auslösen.
Im ersten Trigger setzen wir die
Abbildung 20 – nt!_IORING_OBJECT löst den Fehler zum ersten Mal aus
Und beim zweiten Trigger setzen wir RegBuffers auf eine Adresse, die wir im Benutzerbereich (wie 0x0000000100000000) zuweisen können.
Abbildung 21 – nt!_IORING_OBJECT löst den Fehler zum zweiten Mal aus
Es bleibt nur noch, I/O-Operationen durch das Schreiben von Zeigern auf forged in die Warteschlange zu stellen
Abbildung 22 – Einrichten des Benutzerbereichs für I/O Ring Kernel R/W Primitiv
Ein solcher
Abbildung 23 – Beispiel für einen simulierten E/A-Ringbetrieb
Um einen beliebigen Schreibvorgang durchzuführen, wird eine E/A-Operation beauftragt, Daten aus einem Dateihandle zu lesen und diese Daten an eine Kernel-Adresse zu schreiben.
Abbildung 24 – Beliebiger Schreibzugriff auf den I/O-Ring
Umgekehrt, um einen beliebigen Lesevorgang durchzuführen, wird eine I/O-Operation beauftragt, Daten an einer Kernel-Adresse zu lesen und diese Daten in ein Datei-Handle zu schreiben.
Abbildung 25 – I/O-Ring beliebige Leseart
Mit der Einrichtung des Primitivs müssen Sie nur noch einige Standardtechniken für die Post-Exploitation des Kernels verwenden, um das Token eines erhöhten Prozesses wie System (PID 4) zu leaken und das Token eines anderen Prozesses zu überschreiben.
Nach der öffentlichen Veröffentlichung unseres Exploit-Codes hat Xiaoliang Liu (@flame36987044) von 360 Icesword Lab erstmals öffentlich bekanntgegeben, dass sie Anfang dieses Jahres eine Probe entdeckt hatten, die diese Schwachstelle ausnutzt (ITW). Die von der ITW-Studie angewandte Methode unterschied sich von unserer. Der Angreifer löst die Schwachstelle mit der entsprechenden Winsock-API-Funktion aus,
, anstatt im
Treiber direkt, wie bei unserem Exploit.
Die offizielle Stellungnahme von 360 Icesword Lab lautet wie folgt:
„360 IceSword Lab konzentriert sich auf die Erkennung und Abwehr von APTs.“ Auf Basis unseres Zero-Day-Schwachstellenradarsystems entdeckten wir im Januar dieses Jahres ein Exploit-Beispiel von CVE-2023-21768, das sich von den von @chompie1337 und @FuzzySec angekündigten Exploits dadurch unterscheidet, dass es durch Systemmechanismen und Schwachstellenmerkmale ausgenutzt wird. Der Exploit steht im Zusammenhang mit
und
,
erhält die Anzahl der Male
heißt, also verwenden wir das, um die Anzahl der Privilegien zu ändern.“
Branchen-Newsletter
Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und mehr auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.
Ihnen wird vielleicht auffallen, dass unsere Analyse in manchen Bereichen des Reverse Engineering oberflächlich ist. Manchmal ist es hilfreich, nur einige relevante Zustandsänderungen zu beobachten und Teile des Programms als Blackbox zu behandeln, um nicht in eine irrelevante Sackgasse zu geraten. Auf diese Weise konnten wir einen Exploit schnell ausnutzen, auch wenn die Maximierung der Fertigstellungsgeschwindigkeit nicht unser Ziel war.
Zusätzlich haben wir eine Patch-Vergleichsanalyse aller gemeldeten Schwachstellen durchgeführt in
afd.sys
Die fehlende Unterstützung für Supervisor Mode Access Protection (SMAP) im Windows-Kernel lässt uns zahlreiche Möglichkeiten, neue, rein datenbasierte Ausnutzungs-Primitive zu konstruieren. Diese Primitives sind in anderen Betriebssystemen, die SMAP unterstützen, nicht praktikabel. Betrachten wir zum Beispiel CVE-2021-41073, eine Schwachstelle in Linux' Implementierung von vorregistrierten I/O-Ring-Puffern (dieselbe Funktion, die wir in Windows für ein R/W-Primitiv missbrauchen). Diese Schwachstelle kann es ermöglichen, einen Kernel-Zeiger für einen registrierten Puffer zu überschreiben, aber sie kann nicht verwendet werden, um ein beliebiges R/W-Primitiv zu konstruieren, denn wenn der Zeiger durch einen Benutzerzeiger ersetzt wird und der Kernel versucht, dort zu lesen oder zu schreiben, wird das System abstürzen.
Trotz aller Bemühungen von Microsoft , beliebte Exploit-Primitives zu eliminieren, werden zwangsläufig neue Primitives entdeckt, die an deren Stelle treten. Wir konnten die neueste Version von Windows 11 22H2 ausnutzen, ohne auf Minderungen oder Einschränkungen durch Virtualisierung Based Security Funktionen wie HVCI zu stoßen.