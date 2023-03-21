"Martes de parches, miércoles de exploit" es un viejo adagio de hackers que se refiere a la explotación de las vulnerabilidades el día después de que los parches de seguridad mensuales estén disponibles públicamente. A medida que la seguridad mejora y las mitigaciones de exploits se vuelven más sofisticadas, la cantidad de investigación y desarrollo necesaria para crear un exploit armado ha aumentado. Esto es especialmente relevante para las vulnerabilidades de corrupción de memoria.
Figura 1 — Cronología de explotación
Sin embargo, con la adición de nuevas características (y código C no seguro para la memoria) en el kernel de Windows 11, se pueden introducir nuevas superficies de ataque maduras. Al perfeccionar este código recién introducido, demostramos que las vulnerabilidades que pueden armarse de manera trivial siguen ocurriendo con frecuencia. En esta entrada de blog, analizamos y explotamos una vulnerabilidad en el controlador de funciones auxiliares de Windows para Winsock, afd.sys, para la escalada de privilegios locales (LPE) en Windows 11. Aunque ninguno de los dos tenía experiencia previa con este módulo del kernel, pudimos diagnosticar, reproducir y convertir la vulnerabilidad en aproximadamente un día. Puede encontrar el código exploit aquí.
Según los detalles del CVE-2023-21768 publicados por el Centro de Respuesta de Seguridad (MSRC) de Microsoft, la vulnerabilidad existe en el controlador de funciones auxiliares (AFD), cuyo nombre de archivo binario es afd.sys. El módulo AFD es el punto de entrada del kernel para la API Winsock. Con esta información, analizamos la versión del controlador de diciembre de 2022 y la comparamos con la versión recién lanzada en enero de 2023. Estas muestras pueden obtenerse individualmente desde Winbindex sin el proceso lento de extraer cambios de los parches de Microsoft. Las dos versiones analizadas se muestran a continuación.
Ghidra se utilizó para crear exportaciones binarias para ambos archivos y así poder compararlos en BinDiff. A continuación se muestra un resumen de las funciones coincidentes.
Figura 2 — Comparación binaria de AFD.sys
Solo una función parecía haber cambiado,
Antes del parche,
Figura 3: afd!AfdNotifyRemoveIoCompletion antes del parche
Después del parche, afd.sys versión 10.0.22621.1105.
Figura 4: afd!AfdNotifyRemoveIoCompletion después del parche
Este cambio que se muestra arriba es la única actualización de la función identificada. Un análisis rápido mostró que se está realizando una comprobación basada en
es cero (lo que indica que la llamada se origina en el kernel), se escribe un valor en un puntero especificado por un campo en una estructura desconocida. Si, por el contrario,
no es cero entonces se llama a ProbeForWrite para asegurar que el puntero establecido en el campo es una dirección válida que reside dentro del modo usuario.
Esta comprobación falta en la versión previa al parche del controlador. Dado que la función tiene una declaración de cambio específica para
, se supone que el desarrollador tenía la intención de añadir esta comprobación, pero se olvidó (¡a todos nos falta café a veces ☕!).
A partir de esta actualización, podemos inferir que un atacante puede llegar a esta ruta de código con un valor controlado en
field_0x18
El propio prototipo de función contiene tanto el
Figura 5: Prototipo de la función afd!AfdNotifyRemoveIoCompletion
Ahora conocemos la ubicación de la vulnerabilidad, pero no cómo desencadenar la ejecución de la ruta del código vulnerable. Haremos algo de ingeniería inversa antes de empezar a trabajar en una prueba de concepto (PoC).
En primer lugar, se cotejó la función vulnerable para comprender dónde y cómo se utilizaba.
Figura 6: Referencias cruzadas de afd!AfdNotifyRemoveIoCompletion
Se realiza una única llamada a la función vulnerable en
Repetimos el proceso, buscando referencias cruzadas para
Figura 7: afd!AfdIrpCallDispatch
Esta tabla contiene las rutinas de envío del controlador AFD. Las rutinas de despacho se utilizan para gestionar las peticiones de las aplicaciones Win32 llamando a DeviceIoControl. El código de control para cada función se encuentra en
Sin embargo, el puntero anterior no está dentro de la
Figura 8: afd!AfdIoctlTable
Cabe señalar que es el último código de control de entrada/salida (IOCTL) en la tabla, lo que indica que AfdNotifySock probablemente sea una nueva función de despacho que se ha añadido recientemente al controlador AFD.
En este punto, teníamos un par de opciones. Podríamos hacer ingeniería inversa de la API Winsock correspondiente en un espacio de usuario para entender mejor cómo se llama a la función del kernel subyacente, o hacer ingeniería inversa del código del kernel y llamarlo directamente. La verdad es que no sabíamos a qué función de Winsock correspondía
Nos encontramos con un código publicado por x86matthew que realiza operaciones de socket llamando directamente al controlador AFD, sin usar la biblioteca Winsock. Esto es interesante desde una perspectiva de sigilo, pero para nuestros propósitos, es una bonita plantilla para crear una ventana a un socket TCP para hacer peticiones IOCTL al controlador AFD. A partir de ahí, pudimos llegar a la función objetivo, como lo demuestra el haber alcanzado un punto de interrupción establecido en WinDbg mientras se depuraba el kernel.
Figura 9: Punto de interrupción de afd!AfdNotifySock
Ahora, consulte el prototipo de función para
En este punto, no sabemos cómo poblar los datos en lpInBuffer, que llamaremos
Vamos a repasar cada una de las comprobaciones.
El primer control que encontramos está al principio de
Figura 10: Comprobación del tamaño de afd!AfdNotifySock
Esta comprobación nos indica que el tamaño de la
La siguiente comprobación valida los valores de varios campos de nuestra estructura:
Figura 11: Validación de la estructura afd!AfdNotifySock
En ese momento no sabíamos a qué corresponde ninguno de los campos, así que pasamos una
La siguiente comprobación que encontramos es después de una llamada a ObReferenceObjectByHandle. Esta función toma el primer campo de nuestra estructura de entrada como primer argumento.
Figura 12: afd!AfdNotifySock llama a nt!ObReferenceObjectByHandle
La llamada debe ser exitosa para poder avanzar a la ruta correcta de ejecución del código, lo que significa que debemos pasar una ventana válida a un
Después, llegamos a un bucle cuyo contador era uno de los valores de nuestro struct:
Figura 13: Bucle afd!AfdNotifySock
Este bucle verificaba un campo de nuestra estructura para verificar que contenía un puntero válido en modo usuario y copiaba datos a él. El puntero se incrementa después de cada iteración del bucle. Rellenamos los punteros con direcciones válidas y fijamos el contador en 1. A partir de aquí, finalmente pudimos llegar a la función vulnerable
Figura 14 — Llamada afd!AfdNotifyRemoveIoCompletion
Una vez dentro
Figura 15: Comprobación del campo ¡afd! Afd!AfdNotifyRemoveIoCompletion
Por último, la última comprobación antes de alcanzar el código objetivo es una llamada a
que debe devolver 0 (
).
Esta función se bloqueará hasta que:
parámetro
IoCompletionObject
Controlamos el valor del tiempo de espera a través de nuestra estructura, pero simplemente establecer un tiempo de espera de 0 no es suficiente para que la función devuelva un resultado satisfactorio. Para que esta función se devuelva sin errores, debe haber al menos un registro de finalización disponible. Después de realizar una investigación, encontramos la función no documentada NtSetIoCompletion, que incrementa manualmente el contador de E/S pendientes en un
. Llamar a esta función en el
que creamos anteriormente garantiza que la llamada a
devuelve
Figura 16 — afd!AfdNotifyRemoveIoCompletion verifica retorno nt!IoRemoveIoCompletion
Ahora que podemos llegar al código vulnerable, podemos rellenar el campo apropiado de nuestra estructura con una dirección arbitraria en la que escribir. El valor que escribimos en la dirección proviene de un número entero cuyo puntero se pasa a la llamada a
Figura 17: Valor devuelto por nt!KeRemoveQueueEx
Figura 18: Uso de retorno de nt!KeRemoveQueueEx
En nuestra prueba de concepto, este valor de escritura siempre es igual a
. Especulamos que el valor de retorno de
es el número de elementos retirados de la cola, pero no se investigó más. En ese momento, teníamos el primitivo que necesitábamos y pasamos a terminar la cadena de explotación. Más tarde confirmamos que esta conjetura era correcta y que el valor de escritura puede incrementarse arbitrariamente mediante llamadas adicionales a
en el
Con la posibilidad de escribir un valor fijo (0x1) en una dirección de núcleo arbitraria, procedimos a convertir esto en una lectura/escritura completa arbitraria del kernel. Debido a que esta vulnerabilidad afecta a las últimas versiones de Windows 11 (22H2), decidimos aprovechar la corrupción de un anillo de objetosde E/S de Windows para crear nuestra primitiva. Yarden Shafir ha escrito varios posts excelentes sobre los anillos de E/S de Windows y también desarrolló y divulgó la primitiva que aprovechamos en nuestra cadena de ataques. Por lo que sabemos, es la primera vez que se utiliza esta primitiva en una explotación pública.
Cuando un usuario inicializa un anillo de E/S, se crean dos estructuras separadas, una en el espacio del usuario y otra en el espacio del kernel. Estas estructuras se muestran a continuación.
El objeto del núcleo se asigna a
Figura 19: Inicialización de nt!_IORING_OBJECT
Tenga en cuenta que el objeto kernel tiene dos campos,
Por el lado del espacio de usuario, al llamar a kernelbase!CreateIoring, recuperará una manija de anillo de E/S en caso de éxito. Este identificador apunta a una estructura no documentada (HIORING). Nuestra definición de esta estructura se obtuvo a partir de la investigación realizada por Yarden Shafir.
typedef struct _HIORING {
HANDLE handle;
NT_IORING_INFO Info;
ULONG IoRingKernelAcceptedVersion;
PVOID RegBufferArray;
ULONG BufferArraySize;
PVOID Unknown;
ULONG FileHandlesCount;
ULONG SubQueueHead;
ULONG SubQueueTail;
};
Si una vulnerabilidad, como la que se trata en esta entrada de blog, le permite actualizar los
Como vimos anteriormente, podemos utilizar la vulnerabilidad para escribir 0x1 en cualquier dirección del kernel que queramos. Para configurar la primitiva del anillo de E/S podemos simplemente activar la vulnerabilidad dos veces.
En el primer activador establecemos el
Figura 20: nt!_IORING_OBJECT activando el error por primera vez
Y en el segundo disparador asignamos RegBuffers a una dirección que podemos asignar en el espacio de usuario (como 0x0000000100000000).
Figura 21: nt!_IORING_OBJECT activando el error por segunda vez
Todo lo que queda es poner en cola las operaciones de E/S escribiendo punteros a los valores falsificados.
Figura 22: Configuración del espacio de usuario para la primitiva R/W del kernel I/O Ring
Uno de esos
Figura 23: Ejemplo de operación de anillo de E/S falsificado
Para realizar una escritura arbitraria, una operación de E/S tiene la tarea de leer los datos de un identificador de archivos y escribirlos en una dirección del núcleo.
Figura 24: Escritura arbitraria del anillo de E/S
Por el contrario, para realizar una lectura arbitraria, una operación de E/S tiene la tarea de leer datos en una dirección del kernel y escribir esos datos en un handle de archivo.
Figura 25: Lectura arbitraria del anillo de E/S
Con la configuración primitiva, todo lo que queda es utilizar algunas técnicas estándar de posexplotación del kernel para filtrar el token de un proceso elevado como System (PID 4) y sobrescribir el token de un proceso diferente.
Después del lanzamiento público de nuestro código de exploit, Xiaoliang Liu (@flame36987044) de 360 Icesword Lab reveló públicamente por primera vez que descubrieron una muestra que explotaba esta vulnerabilidad en la naturaleza (ITW) a principios de este año. La técnica utilizada por la muestra de ITW era diferente a la nuestra. El atacante activa la vulnerabilidad usando la función correspondiente de la API de Winsock,
, en lugar de llamar al
La declaración oficial de 360 Icesword Lab es la siguiente:
“360 IceSword Lab se centra en la detección y defensa de APT. Basándonos en nuestro sistema de radar de vulnerabilidades de día 0, descubrimos una muestra de exploit de CVE-2023-21768 en la naturaleza en enero de este año, que difiere de los exploits anunciados por @chompie1337 y @FuzzySec en que se explota a través de mecanismos del sistema y características de vulnerabilidad. El exploit está relacionado con
y
,
obtiene el número de veces
se llama, así que lo usamos para cambiar el recuento de privilegios".
Boletín del sector
Manténgase al día sobre las tendencias más importantes e intrigantes del sector en materia de IA, automatización, datos y mucho más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Puede observar que en algunas partes de la ingeniería inversa nuestro análisis es superficial. A veces es útil observar solo algunos cambios de estado relevantes y tratar partes del programa como una caja negra, para evitar caer en una espiral irrelevante. Esto nos permitió explotar una vulnerabilidad rápidamente, aunque maximizar la velocidad de finalización no era nuestro objetivo.
Además, llevamos a cabo una revisión de diferenciación de parches de todas las vulnerabilidades notificadas en
afd.sys
La falta de soporte para la Protección de Acceso en Modo Supervisor (SMAP) en el kernel de Windows nos deja con abundantes opciones para construir nuevas primitivas de exploit de solo datos. Estas primitivas no son viables en otros sistemas operativos compatibles con SMAP. Por ejemplo, considere CVE-2021-41073, una vulnerabilidad en la implementación de Linux de buffers prerregistrados de anillo de E/S (la misma característica que abusamos en Windows para una primitiva de R/W). Esta vulnerabilidad puede permitir sobrescribir un puntero de kernel para un búfer registrado, pero no puede usarse para construir una primitiva arbitraria R/W porque si el puntero se reemplaza por un puntero de usuario y el kernel intenta leer o escribir allí, el sistema se bloqueará.
A pesar de los mejores esfuerzos de Microsoft por eliminar el querido exploit primitivo, es inevitable que se descubran nuevas primitivas que ocupen su lugar. Pudimos explotar la última versión de Windows 11 22H2 sin encontrar ninguna mitigación ni restricción por parte de las características de seguridad basada en virtualización como HVCI.