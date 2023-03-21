Ihnen wird vielleicht auffallen, dass unsere Analyse in manchen Bereichen des Reverse Engineering oberflächlich ist. Manchmal ist es hilfreich, nur einige relevante Zustandsänderungen zu beobachten und Teile des Programms als Blackbox zu behandeln, um nicht in eine irrelevante Sackgasse zu geraten. Auf diese Weise konnten wir einen Exploit schnell ausnutzen, auch wenn die Maximierung der Fertigstellungsgeschwindigkeit nicht unser Ziel war.

Zusätzlich haben wir eine Patch-Vergleichsanalyse aller gemeldeten Schwachstellen durchgeführt in afd.sys gekennzeichnet als „Ausbeutung wahrscheinlicher“. Unsere Überprüfung ergab, dass alle bis auf zwei der Schwachstellen auf eine fehlerhafte Validierung von aus dem Benutzermodus übermittelten Pointer zurückzuführen waren. Dies zeigt, dass eine historische Kenntnis früherer Schwachstellen, insbesondere innerhalb eines bestimmten Ziels, für die Suche nach neuen Schwachstellen fruchtbar sein kann. Wenn die Codebasis erweitert wird, werden die gleichen Fehler wahrscheinlich wiederholt. Denken Sie daran, neuer C-Code == neue Bugs 😀. Wie die Entdeckung der oben genannten Sicherheitslücke, die in freier Wildbahn ausgenutzt wird, zeigt, kann man mit Sicherheit sagen, dass die Angreifer auch die neuen Ergänzungen der Codebasis genau überwachen.

Die fehlende Unterstützung für Supervisor Mode Access Protection (SMAP) im Windows-Kernel lässt uns zahlreiche Möglichkeiten, neue, rein datenbasierte Ausnutzungs-Primitive zu konstruieren. Diese Primitives sind in anderen Betriebssystemen, die SMAP unterstützen, nicht praktikabel. Betrachten wir zum Beispiel CVE-2021-41073, eine Schwachstelle in Linux' Implementierung von vorregistrierten I/O-Ring-Puffern (dieselbe Funktion, die wir in Windows für ein R/W-Primitiv missbrauchen). Diese Schwachstelle kann es ermöglichen, einen Kernel-Zeiger für einen registrierten Puffer zu überschreiben, aber sie kann nicht verwendet werden, um ein beliebiges R/W-Primitiv zu konstruieren, denn wenn der Zeiger durch einen Benutzerzeiger ersetzt wird und der Kernel versucht, dort zu lesen oder zu schreiben, wird das System abstürzen.

Trotz aller Bemühungen von Microsoft , beliebte Exploit-Primitives zu eliminieren, werden zwangsläufig neue Primitives entdeckt, die an deren Stelle treten. Wir konnten die neueste Version von Windows 11 22H2 ausnutzen, ohne auf Minderungen oder Einschränkungen durch Virtualisierung Based Security Funktionen wie HVCI zu stoßen.