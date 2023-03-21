Puede observar que en algunas partes de la ingeniería inversa nuestro análisis es superficial. A veces es útil observar solo algunos cambios de estado relevantes y tratar partes del programa como una caja negra, para evitar caer en una espiral irrelevante. Esto nos permitió explotar una vulnerabilidad rápidamente, aunque maximizar la velocidad de finalización no era nuestro objetivo.

Además, llevamos a cabo una revisión de diferenciación de parches de todas las vulnerabilidades notificadas en afd.sys indicado como “Explotación más probable”. Nuestra revisión reveló que todas las vulnerabilidades, excepto dos, eran un resultado de una validación incorrecta de los punteros pasados desde el modo de usuario. Esto demuestra que tener un conocimiento histórico de las vulnerabilidades pasadas, en particular dentro de un objetivo específico, puede ser fructífero para encontrar nuevas vulnerabilidades. Cuando se amplía la base de código, es probable que se repitan los mismos errores. Recuerde, nuevo código C == nuevos errores 😀. Como lo demuestra el descubrimiento de la vulnerabilidad antes mencionada que se está explotando de forma salvaje, se puede decir con seguridad que los atacantes también están vigilando de cerca las nuevas incorporaciones a la base de código.

La falta de soporte para la Protección de Acceso en Modo Supervisor (SMAP) en el kernel de Windows nos deja con abundantes opciones para construir nuevas primitivas de exploit de solo datos. Estas primitivas no son viables en otros sistemas operativos compatibles con SMAP. Por ejemplo, considere CVE-2021-41073, una vulnerabilidad en la implementación de Linux de buffers prerregistrados de anillo de E/S (la misma característica que abusamos en Windows para una primitiva de R/W). Esta vulnerabilidad puede permitir sobrescribir un puntero de kernel para un búfer registrado, pero no puede usarse para construir una primitiva arbitraria R/W porque si el puntero se reemplaza por un puntero de usuario y el kernel intenta leer o escribir allí, el sistema se bloqueará.

A pesar de los mejores esfuerzos de Microsoft por eliminar el querido exploit primitivo, es inevitable que se descubran nuevas primitivas que ocupen su lugar. Pudimos explotar la última versión de Windows 11 22H2 sin encontrar ninguna mitigación ni restricción por parte de las características de seguridad basada en virtualización como HVCI.