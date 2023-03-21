Sicherheit

„Patch Tuesday, Exploit Wednesday“ ist ein altes Hacker-Sprichwort, das sich auf die Ausnutzung von Sicherheitslücken am Tag nach der Veröffentlichung der monatlichen Sicherheitspatches bezieht. Mit der Verbesserung der Sicherheit und der zunehmenden Komplexität der Maßnahmen zur Abwehr von Sicherheitslücken hat sich auch der Forschungs- und Entwicklungsaufwand für die Entwicklung eines ausnutzbaren Exploits erhöht. Dies ist besonders relevant für Schwachstellen mit Blick auf Speicherbeschädigung.

Screenshot für den Blogbeitrag erstellt

Abbildung 1 – Zeitlicher Ablauf der Ausbeutung

Mit der Einführung neuer Funktionen (und speicherunsicherem C-Code) im Windows-11-Kernel können jedoch neue Angriffsflächen eingeführt werden. Indem wir diesen neu eingeführten Code genauer unter die Lupe nehmen, zeigen wir, dass Schwachstellen, die mit einfachen Mitteln als Waffe eingesetzt werden können, immer noch häufig auftreten. In diesem Blogbeitrag analysieren und ausnutzen wir eine Schwachstelle im Windows Ancillary Function Treiber für Winsock, afd.sys, für Local Privilege Escalation (LPE) auf Windows 11. Obwohl wir beide keine Erfahrung mit diesem Kernel-Modul hatten, konnten wir die Schwachstelle innerhalb eines Tages diagnostizieren, reproduzieren und als Waffe einsetzen. Den ausnutzen-Code finden Sie hier.

Patch-Diff- und Ursachenanalyse

Basierend auf den Details von CVE-2023-21768, veröffentlicht vom Microsoft Security Response Center (MSRC), liegt die Schwachstelle im Ancillary Function Treiber (AFD), dessen binärer Dateiname afd.sys lautet. Das AFD-Modul ist der Kernel-Einstiegspunkt für die Winsock-API. Mit diesen Informationen haben wir die Treiber-Version vom Dezember 2022 analysiert und mit der neu im Januar 2023 veröffentlichten Version verglichen. Diese Proben können einzeln aus Winbindex abgerufen werden, ohne den zeitaufwändigen Prozess, Änderungen aus Microsoft-Patches zu extrahieren. Die beiden analysierten Versionen sind unten dargestellt.

  • AFD.sys / Windows 11 22H2 / 10.0.22621.608 (December 2022)
  • AFD.sys / Windows 11 22H2 / 10.0.22621.1105 (January 2023)

Ghidra wurde verwendet, um Binärexporte für beide Dateien zu erstellen, damit sie in BinDiff verglichen werden konnten. Eine Übersicht der passenden Funktionen wird unten angezeigt.

Screenshot eines binären Vergleichs von AFD.sys

Abbildung 2 – Binärer Vergleich von AFD.sys

Nur eine Funktion scheint geändert worden zu sein, afd!AfdNotifyRemoveIoCompletion . Das hat unsere Analyse der Sicherheitslücke erheblich beschleunigt. Anschließend verglichen wir beide Funktionen. Die untenstehenden Screenshots zeigen den geänderten Code vor und nach dem Patch, wenn man sich den dekompilierten Code in Binary Ninjaansieht.

Pre-Patch, afd.sys version 10.0.22621.608 .

Screenshot für den Blogbeitrag erstellt

Abbildung 3 – afd!AfdNotifyRemoveIoCompletion Pre-Patch

Nach dem Patch afd.sys-Version 10.0.22621.1105.

Screenshot für den Blogbeitrag erstellt

Abbildung 4 – afd!AfdNotifyReMoveIoCompletion nach dem Patch

Diese oben gezeigte Änderung ist die einzige Aktualisierung der identifizierten Funktion. Eine schnelle Analyse zeigte, dass eine Überprüfung durchgeführt wird, basierend auf PreviousMode . Wenn PreviousMode gleich Null (was darauf hinweist, dass der Aufruf vom Kernel stammt), wird ein Wert in einen Zeiger geschrieben, der durch ein Feld in einer unbekannten Struktur angegeben wird. Wenn hingegen PreviousMode nicht null ist, wird ProbeForWrite aufgerufen, um sicherzustellen, dass der im Feld angegebene Zeiger eine gültige Adresse ist, die sich im Benutzermodus befindet.

Diese Prüfung fehlt in der Pre-Patch-Version des Treibers. Da die Funktion eine spezifische Switch-Anweisung für PreviousMode , wir gehen davon aus, dass der Entwickler diese Überprüfung hinzufügen wollte, ihn aber vergessen hat (manchmal fehlt uns allen der Kaffee ☕!).

Aus diesem Update lässt sich schließen, dass ein Angreifer diesen Codepfad erreichen kann mit einem kontrollierten Wert vonfield_0x18 der unbekannten Struktur. Wenn ein Angreifer dieses Feld mit einer Adresse füllen kann, ist es möglich, einen beliebigen Kernel-Schreibe-Wo-Primitiv zu erstellen. Zum jetzigen Zeitpunkt ist nicht klar, welcher Wert geschrieben wird, aber potenziell könnte jeder Wert für ein Primitiv zur lokalen Rechteausweitung verwendet werden.

Der Funktionsprototyp selbst enthält sowohl den PreviousMode Wert und einen Zeiger auf die unbekannte Struktur als erstes bzw. drittes Argument .

Screenshot erstellt aus dem Funktionsprototyp von afd!AfdNotifyRemoveIoCompletion.

Abbildung 5 — afd!AfdNotifyRemoveIoCompletion function prototype

Reverse-Engineering

Wir kennen nun den Standort der Schwachstelle, aber nicht, wie man die Ausführung des verwundbaren Codepfads auslöst. Bevor wir mit der Arbeit an einem Proof-of-Concept (PoC) beginnen, werden wir einige Reverse-Engineering-Analysen durchführen.

Zunächst wurde die anfällige Funktion mit Querverweisen untersucht, um zu verstehen, wo und wie sie eingesetzt wurde.

Screenshot erstellt aus afd!AfdNotifyRemoveIoCompletion Querverweisen

Abbildung 6 – afd!AfdNotifyRemoveIoCompletion Querverweise

Ein einziger Aufruf an die anfällige Funktion erfolgt in afd!AfdNotifySock .

Wir wiederholen den Vorgang und suchen nach Querverweisen auf AfdNotifySock . Wir finden keine direkten Aufrufe der Funktion, aber ihre Adresse erscheint über einer Tabelle mit Funktionszeigern namens AfdIrpCallDispatch .

Screenshot erstellt von afd!AfdIrpCallDispatch

Abbildung 7 – afd!AfdIrpCallDispatch

Diese Tabelle enthält die Versandroutinen für den AFD-Treiber. Dispatch-Routinen werden verwendet, um Anfragen von Win32-Anwendungen zu bearbeiten, indem DeviceIoControl aufgerufen wird. Der Steuercode für jede Funktion befindet sich in AfdIoctlTable .

Der obige Zeiger befindet sich jedoch nicht innerhalb der AfdIrpCallDispatch  Tabelle, wie wir erwartet haben. Aus den Folien von Steven Vittitoes Recon-Vortrag haben wir herausgefunden, dass es für AFD tatsächlich zwei Dispatch-Tabellen gibt. Das zweite ist AfdImmediateCallDispatch . Durch die Berechnung des Abstands zwischen dem Anfang dieser Tabelle und der Stelle, an der der Zeiger auf AfdNotifySock  wird gespeichert, können wir den Index berechnen, AfdIoctlTable der zeigt, dass der Steuerungscode für die Funktion wie folgt lautet 0x12127 .

Screenshot erstellt von afd!AfdIoctlTable

Abbildung 8 – afd!AfdIoctlTable

Es ist erwähnenswert, dass es sich um den letzten Input/Output-Control-Code (IOCTL) in der Tabelle handelt, was darauf hindeutet, dass AfdNotifySock wahrscheinlich eine neue Dispatch-Funktion ist, die kürzlich zum AFD-Treiber hinzugefügt wurde.

Zu diesem Zeitpunkt hatten wir mehrere Möglichkeiten. Wir könnten die entsprechende Winsock-API in einem Benutzerbereich reverse-engineern, um besser zu verstehen, wie die zugrunde liegende Kernel-Funktion aufgerufen wurde, oder den Kernel-Code reverse engineern und direkt darauf zugreifen. Wir wussten eigentlich nicht, welche Winsock-Funktion dazu gehörte, AfdNotifySock daher haben wir uns für letzteres entschieden.

Wir stießen auf einen von x86matthew veröffentlichten Code, der Socket-Operationen direkt durch Aufruf des AFD-Treibers ausführt und dabei auf die Winsock-Bibliothek verzichtet. Dies ist aus der Perspektive der Tarnung interessant, aber für unsere Zwecke ist es eine gute Vorlage, um einen Handle zu einem TCP-Socket zu erstellen, um IOCTL-Anfragen an den AFD-Treiber zu senden. Von dort aus waren wir in der Lage, die Zielfunktion zu erreichen, wie das Erreichen eines in WinDbg gesetzten Breakpoints beim Kernel-Debugging zeigte.

Screenshot aus AFD! AfDNotifySock-Haltepunkt

Abbildung 9 — afd!AfdNotifySock breakpoint

Gehen Sie nun zurück zum Funktionsprototyp für DeviceIoControl , über den wir den AFD-Treiber aus dem Benutzerbereich aufrufen. Einer der Parameter, lpInBuffer , ist ein Benutzermoduspuffer. Wie im vorigen Abschnitt erwähnt, tritt die Sicherheitslücke auf, weil der Benutzer einen nicht validierten Zeiger innerhalb einer unbekannten Datenstruktur an den Treiber übergeben kann. Diese Struktur wird direkt von unserer Anwendung über den Parameter lpInBuffer übergeben. Es ist übergegangen in AfdNotifySock  als vierter Parameter, und in AfdNotifyRemoveIoCompletion  als dritter Parameter.

Zu diesem Zeitpunkt wissen wir noch nicht, wie wir die Daten in lpInBuffer füllen sollen, die wir aufrufenAFD_NOTIFYSOCK_STRUCT , um die erforderlichen Prüfungen zu bestehen, die zum Erreichen des anfälligen Codepfads führen. AfdNotifyRemoveIoCompletion . Der Rest unseres Reverse-Engineering-Prozesses bestand darin, den Ausführungsablauf zu verfolgen und zu untersuchen, wie wir an den anfälligen Code gelangen konnten.

Gehen wir die einzelnen Prüfungen durch.

Die erste Überprüfung findet am Anfang von AfdNotifySock :

Screenshot der Größenprüfung für afd!AfdNotifySock

Abbildung 10 – Größenprüfung von afd!AfdNotifySock

Diese Überprüfung zeigt uns, dass die Größe der AFD_NOTIFYSOCK_STRUCT   gleich sein sollte wie 0x30  Bytes, andernfalls schlägt die Funktion fehl mit STATUS_INFO_LENGTH_MISMATCH .

Die nächste Prüfung validiert Werte in verschiedenen Feldern unserer Struktur:

Validierung der afd!AfdNotifySock-Struktur

Abbildung 11 – Validierung der afd!AfdNotifySock-Struktur

Zu dem Zeitpunkt wussten wir nicht, wofür eines der Felder steht, also geben wir eine 0x30  Byte-Array gefüllt mit 0x41  Bytes (AAAAAAAAA... ).

Der nächste Check, dem wir begegnen, erfolgt nach einem Aufruf zu ObReferenceObjectByHandle. Diese Funktion nimmt das erste Feld unserer Eingabestruktur als ihr erstes Argument.

Screenshot für den Blogbeitrag erstellt

Abbildung 12 – afd!AfdNotifySock Aufruf nt!ObReferenceObjectByHandle

Der Aufruf muss erfolgreich sein, damit der korrekte Code ausgeführt werden kann. Das bedeutet, dass wir ein gültiges Handle an einen solchen Aufruf übergeben müssen. IoCompletionObject . Es gibt keine offiziell dokumentierte Möglichkeit, ein Objekt dieses Typs über die Win32-API zu erstellen. Nach einiger Suche haben wir jedoch eine nicht dokumentierte NT-Funktion namens NtCreateIoCompletion gefunden, die den Zweck erfüllte.

Anschließend erreichen wir eine Schleife, deren Zähler einer der Werte aus unserer Struktur war:

Screenshot erstellt aus einer afd!AfdNotifySock-Schleife

Abbildung 13 – afd!AfdNotifySock-Schleife

Diese Schleife prüft ein Feld aus unserer Struktur, um sicherzustellen, dass es einen gültigen Benutzermoduszeiger enthielt, und kopierte Daten dorthin. Der Zeiger wird nach jeder Iteration der Schleife erhöht. Wir haben die Zeiger mit gültigen Adressen gefüllt und den Zähler auf 1 gesetzt. Von hier aus konnten wir schließlich die verwundbare Funktion erreichen AfdNotifyRemoveIoCompletion .

Screenshot erstellt vom Aufruf von afd!AfdNotifyRemoveIoCompletion

Abbildung 14 – afd!AfdNotifyRemoveIoCompletion-Aufruf

So bald man drinnen istAfdNotifyRemoveIoCompletion , erfolgt die erste Überprüfung an einem anderen Feld in unserer Struktur. Es muss ungleich Null sein. Anschließend wird es mit 0x20 multipliziert und dann eingegebenProbeForWrite  zusammen mit einem weiteren Feld in unserer Struktur als Zeigerparameter. Von hier aus können wir die Struktur weiter mit einem gültigen Benutzermoduszeiger ausfüllen (pData2 ) und Feld dwLen = 1 (so dass die Gesamtgröße, die an  weitergegeben wirdProbeForWrite  ist gleich 0x20), und die Prüfungen ist bestanden.

Screenshot erstellt von afd! Afd!AfdNotifyRemoveIoCompletion Feldprüfung

Abbildung 15 — afd! Afd!AfdNotifyRemoveIoCompletion Feldüberprüfung

Die letzte Prüfung, die vor dem Erreichen des Zielcodes durchgeführt werden muss, ist ein Aufruf von IoRemoveCompletion der 0 ergeben muss (STATUS_SUCCESS ).

Diese Funktion wird blockiert, bis eine der folgenden Bedingungen erfüllt ist:

  • Ein Abschlussdatensatz wird für die IoCompletionObject Parameter verfügbar
  • Das Timeout läuft ab, was als Parameter der Funktion übergeben wird

Wir steuern den Timeout-Wert über unsere Struktur, aber ein einfaches Timeout von 0 reicht nicht aus, damit die Funktion erfolgreich ist. Damit diese Funktion fehlerfrei zurückgegeben wird, muss mindestens ein Vervollständigungseintrag verfügbar sein. Nach einiger Forschung fanden wir die nicht dokumentierte Funktion NtSetIoCompletion, die den I/O-Pending Counter manuell ausführt auf einem IoCompletionObject . Aufruf dieser Funktion auf dem IoCompletionObject das wir zuvor erstellt haben, stellt sicher, dass der Aufruf von IoRemoveCompletion ergibt STATUS_SUCCESS .

Screenshot für den Blogbeitrag erstellt

Abbildung 16 - afd!AfdNotifyRemoveIoCompletion check return nt!IoRemoveIoCompletion

Auslösen eines beliebigen Schreibvorgangs

Nachdem wir nun den angreifbaren Code erreichen können, können wir das entsprechende Feld in unserer Struktur mit einer beliebigen Adresse füllen, an die geschrieben werden soll. Der Wert, den wir an die Adresse schreiben, stammt von einer Ganzzahl, deren Zeiger an den Aufruf übergeben wird. IoRemoveIoCompletionIoRemoveIoCompletion  setzt den Wert dieser Ganzzahl auf den Rückgabewert eines Anrufs an KeRemoveQueueEx .

Screenshot für den Blogbeitrag erstellt

Abbildung 17 – nt!KeRemoveQueueEx return value

Screenshot für den Blogbeitrag erstellt

Abbildung 18 — nt!KeRemoveQueueEx return use

In unserem Proof of Concept ist dieser Schreibwert immer gleich 0x1 . Wir haben spekuliert, dass das Ergebnis von KeRemoveQueueEx die Anzahl der Elemente ist, die aus der Warteschlange entfernt wurde, haben das aber nicht weiter untersucht. Zu diesem Zeitpunkt hatten wir das Primitivum, das wir brauchten, und konnten die Ausnutzungskette abschließen. Wir haben später bestätigt, dass diese Vermutung richtig war, und der Schreibwert kann durch zusätzliche Aufrufe von NtSetIoCompletion auf der IoCompletionObject .

LPE mit IORING

Mit der Fähigkeit, einen festen Wert (0x1) an eine beliebige Kernel-Adresse zu schreiben, haben wir daraus einen vollständigen beliebigen Kernel mit Lese-/Schreibzugriff gemacht. Da diese Schwachstelle die neuesten Versionen von Windows 11 (22H2) betrifft, haben wir uns entschieden, eine Korruption des Windows I/O-Ringobjekts zu nutzen, um unser Primitiv zu schaffen. Yarden Shafir hat eine Reihe ausgezeichneter Beiträge über Windows-I/O-Ringe geschrieben und auch das Primitiv entwickelt, das wir in unserer Exploit-Kette genutzt haben. Soweit uns bekannt ist, ist dies der erste Fall, in dem dieses Primitivum in einem öffentlichen Ausnutzen verwendet wurde.

Wenn ein I/O-Ring von einem Benutzer initialisiert wird, werden zwei separate Strukturen erstellt, eine im Benutzerbereich und eine im Kernel-Speicher. Diese Strukturen sind unten abgebildet.

Das Kernel-Objekt entspricht nt!_IORING_OBJECT  und wird unten gezeigt.

Screenshot für den Blogbeitrag erstellt

Abbildung 19 – Initialisierung von nt!_IORING_OBJECT

Beachten Sie, dass das Kernel-Objekt zwei Felder besitzt. RegBuffersCount  und RegBuffers , die bei der Initialisierung auf Null gesetzt werden. Der Zähler zeigt an, wie viele E/A-Operationen möglicherweise für den E/A-Ring in die Warteschlange gestellt werden können. Der andere Parameter ist ein Zeiger auf eine Liste der aktuell eingewarteten Operationen.

Auf der Benutzerseite erhält man beim Aufruf von kernelbase!CreateIoRing im Erfolgsfall ein I/O-Ring-Handle zurück. Dieser Handle ist ein Zeiger auf eine undokumentierte Struktur (HIORING). Unsere Definition dieser Struktur stammt aus der Forschung von Yarden Shafir.

typedef struct _HIORING {

    HANDLE handle;

    NT_IORING_INFO Info;

    ULONG IoRingKernelAcceptedVersion;

    PVOID RegBufferArray;

    ULONG BufferArraySize;

    PVOID Unknown;

    ULONG FileHandlesCount;

    ULONG SubQueueHead;

    ULONG SubQueueTail;

};

Wenn eine Sicherheitslücke, wie die in diesem Blog-Beitrag behandelte, es Ihnen ermöglicht, die RegBuffersCount  und RegBuffers  Felder zu aktualisieren, dann ist es möglich, Standard-I/O-Ring-APIs zum Lesen und Schreiben des Kernelspeichers zu verwenden.

Wie wir oben gesehen haben, können wir die Sicherheitslücke ausnutzen, um an jeder beliebigen Kernel-Adresse 0x1 zu schreiben. Um den I/O-Ring-Primitiv einzurichten, können wir die Schwachstelle einfach zweimal auslösen.

Im ersten Trigger setzen wir die RegBufferCount  Zu 0x1 .

Screenshot von nt!_IORING_OBJECT beim ersten Auslösen des Fehlers

Abbildung 20 – nt!_IORING_OBJECT löst den Fehler zum ersten Mal aus

Und beim zweiten Trigger setzen wir RegBuffers auf eine Adresse, die wir im Benutzerbereich (wie 0x0000000100000000) zuweisen können.

Screenshot von nt!_IORING_OBJECT, der den Fehler zum zweiten Mal auslöst.

Abbildung 21 – nt!_IORING_OBJECT löst den Fehler zum zweiten Mal aus

Es bleibt nur noch, I/O-Operationen durch das Schreiben von Zeigern auf forged in die Warteschlange zu stellennt!_IOP_MC_BUFFER_ENTRY  Strukturen an der Benutzeradresse (0x100000000 ). Die Anzahl der Einträge sollte gleich sein RegBuffersCount . Dieser Prozess wird im untenstehenden Diagramm hervorgehoben.

Diagramm erstellt für den Blogbeitrag

Abbildung 22 – Einrichten des Benutzerbereichs für I/O Ring Kernel R/W Primitiv

Ein solcher nt!_IOP_MC_BUFFER_ENTRY  wird im folgenden Screenshot gezeigt. Beachten Sie, dass das Ziel der Operation eine Adresse ist (0xfffff8052831da20 ) und dass die Größe der Operation in diesem Fall  0x8  Bytes beträgt. Aus der Struktur lässt sich nicht erkennen, ob es sich um einen Lese- oder Schreibvorgang handelt. Die Richtung der Operation hängt davon ab, welche API zum Einreihen der E/A-Anforderung verwendet wurde. Die Verwendung von kernelbase!BuildIoRingReadFile ergibt ein willkürliches Kernel-Schreiben und kernelbase!BuildIoRingWriteFile  ein willkürliches Kernel-Lesen.

Screenshot für den Blogbeitrag erstellt

Abbildung 23 – Beispiel für einen simulierten E/A-Ringbetrieb

Um einen beliebigen Schreibvorgang durchzuführen, wird eine E/A-Operation beauftragt, Daten aus einem Dateihandle zu lesen und diese Daten an eine Kernel-Adresse zu schreiben.

Diagramm erstellt für den Blogbeitrag

Abbildung 24 – Beliebiger Schreibzugriff auf den I/O-Ring

Umgekehrt, um einen beliebigen Lesevorgang durchzuführen, wird eine I/O-Operation beauftragt, Daten an einer Kernel-Adresse zu lesen und diese Daten in ein Datei-Handle zu schreiben.

Diagramm aus I/O Ring willkürlich lesen

Abbildung 25 – I/O-Ring beliebige Leseart

Demo

Mit der Einrichtung des Primitivs müssen Sie nur noch einige Standardtechniken für die Post-Exploitation des Kernels verwenden, um das Token eines erhöhten Prozesses wie System (PID 4) zu leaken und das Token eines anderen Prozesses zu überschreiben.

Ausbeutung in freier Wildbahn

Nach der öffentlichen Veröffentlichung unseres Exploit-Codes hat Xiaoliang Liu (@flame36987044) von 360 Icesword Lab erstmals öffentlich bekanntgegeben, dass sie Anfang dieses Jahres eine Probe entdeckt hatten, die diese Schwachstelle ausnutzt (ITW). Die von der ITW-Studie angewandte Methode unterschied sich von unserer. Der Angreifer löst die Schwachstelle mit der entsprechenden Winsock-API-Funktion aus, ProcessSocketNotifications , anstatt im afd.sys Treiber direkt, wie bei unserem Exploit.

Die offizielle Stellungnahme von 360 Icesword Lab lautet wie folgt:

„360 IceSword Lab konzentriert sich auf die Erkennung und Abwehr von APTs.“ Auf Basis unseres Zero-Day-Schwachstellenradarsystems entdeckten wir im Januar dieses Jahres ein Exploit-Beispiel von CVE-2023-21768, das sich von den von @chompie1337 und @FuzzySec angekündigten Exploits dadurch unterscheidet, dass es durch Systemmechanismen und Schwachstellenmerkmale ausgenutzt wird. Der Exploit steht im Zusammenhang mit NtSetIoCompletion und ProcessSocketNotifications , ProcessSocketNotifications erhält die Anzahl der Male NtSetIoCompletion heißt, also verwenden wir das, um die Anzahl der Privilegien zu ändern.“

Fazit und abschließende Überlegungen

Ihnen wird vielleicht auffallen, dass unsere Analyse in manchen Bereichen des Reverse Engineering oberflächlich ist. Manchmal ist es hilfreich, nur einige relevante Zustandsänderungen zu beobachten und Teile des Programms als Blackbox zu behandeln, um nicht in eine irrelevante Sackgasse zu geraten. Auf diese Weise konnten wir einen Exploit schnell ausnutzen, auch wenn die Maximierung der Fertigstellungsgeschwindigkeit nicht unser Ziel war.

Zusätzlich haben wir eine Patch-Vergleichsanalyse aller gemeldeten Schwachstellen durchgeführt inafd.sys gekennzeichnet als „Ausbeutung wahrscheinlicher“. Unsere Überprüfung ergab, dass alle bis auf zwei der Schwachstellen auf eine fehlerhafte Validierung von aus dem Benutzermodus übermittelten Pointer zurückzuführen waren. Dies zeigt, dass eine historische Kenntnis früherer Schwachstellen, insbesondere innerhalb eines bestimmten Ziels, für die Suche nach neuen Schwachstellen fruchtbar sein kann. Wenn die Codebasis erweitert wird, werden die gleichen Fehler wahrscheinlich wiederholt. Denken Sie daran, neuer C-Code == neue Bugs 😀. Wie die Entdeckung der oben genannten Sicherheitslücke, die in freier Wildbahn ausgenutzt wird, zeigt, kann man mit Sicherheit sagen, dass die Angreifer auch die neuen Ergänzungen der Codebasis genau überwachen.

Die fehlende Unterstützung für Supervisor Mode Access Protection (SMAP) im Windows-Kernel lässt uns zahlreiche Möglichkeiten, neue, rein datenbasierte Ausnutzungs-Primitive zu konstruieren. Diese Primitives sind in anderen Betriebssystemen, die SMAP unterstützen, nicht praktikabel. Betrachten wir zum Beispiel CVE-2021-41073, eine Schwachstelle in Linux' Implementierung von vorregistrierten I/O-Ring-Puffern (dieselbe Funktion, die wir in Windows für ein R/W-Primitiv missbrauchen). Diese Schwachstelle kann es ermöglichen, einen Kernel-Zeiger für einen registrierten Puffer zu überschreiben, aber sie kann nicht verwendet werden, um ein beliebiges R/W-Primitiv zu konstruieren, denn wenn der Zeiger durch einen Benutzerzeiger ersetzt wird und der Kernel versucht, dort zu lesen oder zu schreiben, wird das System abstürzen.

Trotz aller Bemühungen von Microsoft , beliebte Exploit-Primitives zu eliminieren, werden zwangsläufig neue Primitives entdeckt, die an deren Stelle treten. Wir konnten die neueste Version von Windows 11 22H2 ausnutzen, ohne auf Minderungen oder Einschränkungen durch Virtualisierung Based Security Funktionen wie HVCI zu stoßen.

