Martes de parches → Miércoles de exploit: Pwning del controlador de funciones auxiliares de Windows para WinSock (afd.sys) en 24 horas

Ilustración del espacio de liderazgo de la Oficina de Privacidad y Tecnología Responsable que muestra el escudo de privacidad

Autores

Valentina Palmiotti

Head of X-Force Offensive Research (XOR)

IBM

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

"Martes de parches, miércoles de exploit" es un viejo adagio de hackers que se refiere a la explotación de las vulnerabilidades el día después de que los parches de seguridad mensuales estén disponibles públicamente. A medida que la seguridad mejora y las mitigaciones de exploits se vuelven más sofisticadas, la cantidad de investigación y desarrollo necesaria para crear un exploit armado ha aumentado. Esto es especialmente relevante para las vulnerabilidades de corrupción de memoria.

Captura de pantalla realizada para la entrada de blog

Figura 1 — Cronología de explotación

Sin embargo, con la adición de nuevas características (y código C no seguro para la memoria) en el kernel de Windows 11, se pueden introducir nuevas superficies de ataque maduras. Al perfeccionar este código recién introducido, demostramos que las vulnerabilidades que pueden armarse de manera trivial siguen ocurriendo con frecuencia. En esta entrada de blog, analizamos y explotamos una vulnerabilidad en el controlador de funciones auxiliares de Windows para Winsock, afd.sys, para la escalada de privilegios locales (LPE) en Windows 11. Aunque ninguno de los dos tenía experiencia previa con este módulo del kernel, pudimos diagnosticar, reproducir y convertir la vulnerabilidad en aproximadamente un día. Puede encontrar el código exploit aquí.

Análisis de diferencias de parches y causa raíz

Según los detalles del CVE-2023-21768 publicados por el Centro de Respuesta de Seguridad (MSRC) de Microsoft, la vulnerabilidad existe en el controlador de funciones auxiliares (AFD), cuyo nombre de archivo binario es afd.sys. El módulo AFD es el punto de entrada del kernel para la API Winsock. Con esta información, analizamos la versión del controlador de diciembre de 2022 y la comparamos con la versión recién lanzada en enero de 2023. Estas muestras pueden obtenerse individualmente desde Winbindex sin el proceso lento de extraer cambios de los parches de Microsoft. Las dos versiones analizadas se muestran a continuación.

  • AFD.sys / Windows 11 22H2 / 10.0.22621.608 (diciembre de 2022)
  • AFD.sys / Windows 11 22H2 / 10.0.22621.1105 (enero de 2023)

Ghidra se utilizó para crear exportaciones binarias para ambos archivos y así poder compararlos en BinDiff. A continuación se muestra un resumen de las funciones coincidentes.

Captura de pantalla de la comparación binaria de AFD.sys

Figura 2 — Comparación binaria de AFD.sys

Solo una función parecía haber cambiado, afd!AfdNotifyRemoveIoCompletion . Esto aceleró significativamente nuestro análisis de la vulnerabilidad. Luego comparamos ambas funciones. Las capturas de pantalla a continuación muestran el código cambiado antes y después del parche al observar el código descompilado en Binary Ninja.

Antes del parche, afd.sys version 10.0.22621.608 .

Captura de pantalla realizada para la entrada de blog

Figura 3: afd!AfdNotifyRemoveIoCompletion antes del parche

Después del parche, afd.sys versión 10.0.22621.1105.

Captura de pantalla realizada para la entrada de blog

Figura 4: afd!AfdNotifyRemoveIoCompletion después del parche

Este cambio que se muestra arriba es la única actualización de la función identificada. Un análisis rápido mostró que se está realizando una comprobación basada en PreviousMode . Si PreviousMode es cero (lo que indica que la llamada se origina en el kernel), se escribe un valor en un puntero especificado por un campo en una estructura desconocida. Si, por el contrario, PreviousMode no es cero entonces se llama a ProbeForWrite para asegurar que el puntero establecido en el campo es una dirección válida que reside dentro del modo usuario.

Esta comprobación falta en la versión previa al parche del controlador. Dado que la función tiene una declaración de cambio específica para PreviousMode , se supone que el desarrollador tenía la intención de añadir esta comprobación, pero se olvidó (¡a todos nos falta café a veces ☕!).

A partir de esta actualización, podemos inferir que un atacante puede llegar a esta ruta de código con un valor controlado enfield_0x18 de la estructura desconocida. Si un atacante es capaz de rellenar este campo con una dirección del kernel, entonces es posible crear una primitiva Write-Where del kernel arbitraria. En este momento, no está claro qué valor se está escribiendo, pero cualquier valor podría utilizarse para una primitiva de escalada de privilegios locales.

El propio prototipo de función contiene tanto el PreviousMode valor y un puntero a la estructura desconocida como primer y tercer argumento respectivamente.

Captura de pantalla del prototipo de la función afd!AfdNotifyRemoveIoCompletion

Figura 5: Prototipo de la función afd!AfdNotifyRemoveIoCompletion

Ingeniería inversa

Ahora conocemos la ubicación de la vulnerabilidad, pero no cómo desencadenar la ejecución de la ruta del código vulnerable. Haremos algo de ingeniería inversa antes de empezar a trabajar en una prueba de concepto (PoC).

En primer lugar, se cotejó la función vulnerable para comprender dónde y cómo se utilizaba.

Captura de pantalla de las referencias cruzadas de afd!AfdNotifyRemoveIoCompletion

Figura 6: Referencias cruzadas de afd!AfdNotifyRemoveIoCompletion

Se realiza una única llamada a la función vulnerable en afd!AfdNotifySock .

Repetimos el proceso, buscando referencias cruzadas para AfdNotifySock . No encontramos llamadas directas a la función, pero su dirección aparece encima de una tabla de punteros de función llamada AfdIrpCallDispatch .

Captura de pantalla de afd!AfdIrpCallDispatch

Figura 7: afd!AfdIrpCallDispatch

Esta tabla contiene las rutinas de envío del controlador AFD. Las rutinas de despacho se utilizan para gestionar las peticiones de las aplicaciones Win32 llamando a DeviceIoControl. El código de control para cada función se encuentra en AfdIoctlTable .

Sin embargo, el puntero anterior no está dentro de la AfdIrpCallDispatch  tabla como esperábamos. A partir de las diapositivas de  la charlaRecon de Steven Vittitoe, descubrimos que en realidad hay dos tablas de despacho para AFD. La segunda es AfdImmediateCallDispatch . Calculando la distancia entre el inicio de esta tabla y donde se encuentra el puntero a AfdNotifySock  se almacena, podemos calcular el índice en el AfdIoctlTable  que muestra que el código de control de la función es 0x12127 .

Captura de pantalla de afd!AfdIoctlTable

Figura 8: afd!AfdIoctlTable

Cabe señalar que es el último código de control de entrada/salida (IOCTL) en la tabla, lo que indica que AfdNotifySock probablemente sea una nueva función de despacho que se ha añadido recientemente al controlador AFD.

En este punto, teníamos un par de opciones. Podríamos hacer ingeniería inversa de la API Winsock correspondiente en un espacio de usuario para entender mejor cómo se llama a la función del kernel subyacente, o hacer ingeniería inversa del código del kernel y llamarlo directamente. La verdad es que no sabíamos a qué función de Winsock correspondía AfdNotifySock , así que optamos por hacer lo segundo.

Nos encontramos con un código publicado por x86matthew que realiza operaciones de socket llamando directamente al controlador AFD, sin usar la biblioteca Winsock. Esto es interesante desde una perspectiva de sigilo, pero para nuestros propósitos, es una bonita plantilla para crear una ventana a un socket TCP para hacer peticiones IOCTL al controlador AFD. A partir de ahí, pudimos llegar a la función objetivo, como lo demuestra el haber alcanzado un punto de interrupción establecido en WinDbg mientras se depuraba el kernel.

Captura de pantalla del punto de interrupción de afd!AfdNotifySock

Figura 9: Punto de interrupción de afd!AfdNotifySock

Ahora, consulte el prototipo de función para DeviceIoControl , a través del cual llamamos al controlador AFD desde el espacio del usuario. Uno de los parámetros, lpInBuffer , es un búfer en modo usuario. Como se mencionó en la sección anterior, la vulnerabilidad se produce porque el usuario puede pasar un puntero no validado al controlador dentro de una estructura de datos desconocida. Esta estructura se pasa directamente desde nuestra aplicación de usuario a través del parámetro lpInBuffer. Se ha pasado a AfdNotifySock  como el cuarto parámetro, y en AfdNotifyRemoveIoCompletion  como tercer parámetro.

En este punto, no sabemos cómo poblar los datos en lpInBuffer, que llamaremos AFD_NOTIFYSOCK_STRUCT , con el fin de pasar las comprobaciones necesarias para llegar a la ruta del código vulnerable en AfdNotifyRemoveIoCompletion . El resto de nuestro proceso de ingeniería inversa consistió en seguir el flujo de ejecución y examinar cómo llegar al código vulnerable.

Vamos a repasar cada una de las comprobaciones.

El primer control que encontramos está al principio de AfdNotifySock :

Captura de pantalla de comprobación de tamaño de afd!AfdNotifySock

Figura 10: Comprobación del tamaño de afd!AfdNotifySock

Esta comprobación nos indica que el tamaño de la AFD_NOTIFYSOCK_STRUCT  debe ser igual a 0x30  bytes, de lo contrario la función falla con STATUS_INFO_LENGTH_MISMATCH .

La siguiente comprobación valida los valores de varios campos de nuestra estructura:

de la validación de la estructura afd!AfdNotifySock

Figura 11: Validación de la estructura afd!AfdNotifySock

En ese momento no sabíamos a qué corresponde ninguno de los campos, así que pasamos una 0x30  matriz de bytes llena de 0x41  bytes (AAAAAAAAA... ).

La siguiente comprobación que encontramos es después de una llamada a ObReferenceObjectByHandle. Esta función toma el primer campo de nuestra estructura de entrada como primer argumento.

Captura de pantalla realizada para la entrada de blog

Figura 12: afd!AfdNotifySock llama a nt!ObReferenceObjectByHandle

La llamada debe ser exitosa para poder avanzar a la ruta correcta de ejecución del código, lo que significa que debemos pasar una ventana válida a un IoCompletionObject . No existe una forma oficialmente documentada de crear un objeto de ese tipo a través de la API Win32. Sin embargo, después de buscar un poco, encontramos una función NT no documentada , NtCreateIoCompletion, que hacía el trabajo.

Después, llegamos a un bucle cuyo contador era uno de los valores de nuestro struct:

Captura de pantalla del bucle afd!AfdNotifySock

Figura 13: Bucle afd!AfdNotifySock

Este bucle verificaba un campo de nuestra estructura para verificar que contenía un puntero válido en modo usuario y copiaba datos a él. El puntero se incrementa después de cada iteración del bucle. Rellenamos los punteros con direcciones válidas y fijamos el contador en 1. A partir de aquí, finalmente pudimos llegar a la función vulnerable AfdNotifyRemoveIoCompletion .

Captura de pantalla de la llamada afd!AfdNotifyRemoveIoCompletion

Figura 14 — Llamada afd!AfdNotifyRemoveIoCompletion

Una vez dentro AfdNotifyRemoveIoCompletion , la primera comprobación está en otro campo de nuestra estructura. Debe ser distinta de cero. A continuación, se multiplica por 0x20 y se pasa a ProbeForWrite  junto con otro campo de nuestra estructura como parámetro del puntero. A partir de aquí podemos rellenar la estructura con un puntero válido en modo usuario (pData2 ) y el campo dwLen = 1 (de modo que el tamaño total pasó a ProbeForWrite  es igual a 0x20) y se superan las comprobaciones.

Captura de pantalla de comprobación del campo de afd! Afd!AfdNotifyRemoveIoCompletion

Figura 15: Comprobación del campo ¡afd! Afd!AfdNotifyRemoveIoCompletion

Por último, la última comprobación antes de alcanzar el código objetivo es una llamada a IoRemoveCompletion que debe devolver 0 (STATUS_SUCCESS ).

Esta función se bloqueará hasta que:

  • Un registro de finalización está disponible para el IoCompletionObject parámetro
  • El tiempo de espera caduque, que se pasa como parámetro de la función

Controlamos el valor del tiempo de espera a través de nuestra estructura, pero simplemente establecer un tiempo de espera de 0 no es suficiente para que la función devuelva un resultado satisfactorio. Para que esta función se devuelva sin errores, debe haber al menos un registro de finalización disponible. Después de realizar una investigación, encontramos la función no documentada NtSetIoCompletion, que incrementa manualmente el contador de E/S pendientes en un IoCompletionObject . Llamar a esta función en el IoCompletionObject que creamos anteriormente garantiza que la llamada a IoRemoveCompletion devuelve STATUS_SUCCESS .

Captura de pantalla realizada para la entrada de blog

Figura 16 — afd!AfdNotifyRemoveIoCompletion verifica retorno nt!IoRemoveIoCompletion

Activación arbitraria de write-where

Ahora que podemos llegar al código vulnerable, podemos rellenar el campo apropiado de nuestra estructura con una dirección arbitraria en la que escribir. El valor que escribimos en la dirección proviene de un número entero cuyo puntero se pasa a la llamada a IoRemoveIoCompletionIoRemoveIoCompletion  establece el valor de este entero en el valor devuelto de una llamada a KeRemoveQueueEx .

Captura de pantalla realizada para la entrada de blog

Figura 17: Valor devuelto por nt!KeRemoveQueueEx

Captura de pantalla realizada para la entrada de blog

Figura 18: Uso de retorno de nt!KeRemoveQueueEx

En nuestra prueba de concepto, este valor de escritura siempre es igual a 0x1 . Especulamos que el valor de retorno de KeRemoveQueueEx es el número de elementos retirados de la cola, pero no se investigó más. En ese momento, teníamos el primitivo que necesitábamos y pasamos a terminar la cadena de explotación. Más tarde confirmamos que esta conjetura era correcta y que el valor de escritura puede incrementarse arbitrariamente mediante llamadas adicionales a NtSetIoCompletion en el IoCompletionObject .

LPE con IORING

Con la posibilidad de escribir un valor fijo (0x1) en una dirección de núcleo arbitraria, procedimos a convertir esto en una lectura/escritura completa arbitraria del kernel. Debido a que esta vulnerabilidad afecta a las últimas versiones de Windows 11 (22H2), decidimos aprovechar la corrupción de un anillo de objetosde E/S de Windows para crear nuestra primitiva. Yarden Shafir ha escrito varios posts excelentes sobre los anillos de E/S de Windows y también desarrolló y divulgó la primitiva que aprovechamos en nuestra cadena de ataques. Por lo que sabemos, es la primera vez que se utiliza esta primitiva en una explotación pública.

Cuando un usuario inicializa un anillo de E/S, se crean dos estructuras separadas, una en el espacio del usuario y otra en el espacio del kernel. Estas estructuras se muestran a continuación.

El objeto del núcleo se asigna a nt!_IORING_OBJECT  y se muestra a continuación.

Captura de pantalla realizada para la entrada de blog

Figura 19: Inicialización de nt!_IORING_OBJECT

Tenga en cuenta que el objeto kernel tiene dos campos, RegBuffersCount  y RegBuffers , que se ponen a cero en la inicialización. El recuento indica cuántas operaciones de E/S se pueden poner en cola para el anillo de E/S. El otro parámetro es un puntero a una lista de las operaciones actualmente en cola.

Por el lado del espacio de usuario, al llamar a kernelbase!CreateIoring, recuperará una manija de anillo de E/S en caso de éxito. Este identificador apunta a una estructura no documentada (HIORING). Nuestra definición de esta estructura se obtuvo a partir de la investigación realizada por Yarden Shafir.

typedef struct _HIORING {

    HANDLE handle;

    NT_IORING_INFO Info;

    ULONG IoRingKernelAcceptedVersion;

    PVOID RegBufferArray;

    ULONG BufferArraySize;

    PVOID Unknown;

    ULONG FileHandlesCount;

    ULONG SubQueueHead;

    ULONG SubQueueTail;

};

Si una vulnerabilidad, como la que se trata en esta entrada de blog, le permite actualizar los RegBuffersCount  y RegBuffers  campos, entonces es posible utilizar las API de anillo de E/S estándar para leer y escribir en la memoria del kernel.

Como vimos anteriormente, podemos utilizar la vulnerabilidad para escribir 0x1 en cualquier dirección del kernel que queramos. Para configurar la primitiva del anillo de E/S podemos simplemente activar la vulnerabilidad dos veces.

En el primer activador establecemos el RegBufferCount  a 0x1 .

Captura de pantalla de nt!_IORING_OBJECT activando el error por primera vez

Figura 20: nt!_IORING_OBJECT activando el error por primera vez

Y en el segundo disparador asignamos RegBuffers a una dirección que podemos asignar en el espacio de usuario (como 0x0000000100000000).

Captura de pantalla de nt!_IORING_OBJECT activando el error por segunda vez

Figura 21: nt!_IORING_OBJECT activando el error por segunda vez

Todo lo que queda es poner en cola las operaciones de E/S escribiendo punteros a los valores falsificados.nt!_IOP_MC_BUFFER_ENTRY  estructuras en la dirección del espacio de usuario (0x100000000 ). El número de entradas debe ser igual a RegBuffersCount . Este proceso se destaca en el diagrama a continuación.

Diagrama realizado para la entrada de blog

Figura 22: Configuración del espacio de usuario para la primitiva R/W del kernel I/O Ring

Uno de esos nt!_IOP_MC_BUFFER_ENTRY  se muestra en la siguiente captura de pantalla. Tenga en cuenta que el destino de la operación es una dirección del kernel (0xfffff8052831da20 ) y que el tamaño de la operación, en este caso, es de 0x8  bytes. No es posible saber por la estructura si se trata de una operación de lectura o de escritura. La dirección de la operación depende de qué API se haya utilizado para poner en cola la solicitud de E/S. ¡Usando kernelbase!BuildIoRingReadFile da como resultado una escritura arbitraria del kernel y kernelbase!BuildIoRingWriteFile  resulta en una lectura arbitraria del kernel.

Captura de pantalla realizada para la entrada de blog

Figura 23: Ejemplo de operación de anillo de E/S falsificado

Para realizar una escritura arbitraria, una operación de E/S tiene la tarea de leer los datos de un identificador de archivos y escribirlos en una dirección del núcleo.

Diagrama realizado para la entrada de blog

Figura 24: Escritura arbitraria del anillo de E/S

Por el contrario, para realizar una lectura arbitraria, una operación de E/S tiene la tarea de leer datos en una dirección del kernel y escribir esos datos en un handle de archivo.

Diagrama realizado de lectura arbitraria en anillo de E/S

Figura 25: Lectura arbitraria del anillo de E/S

Demostración

Con la configuración primitiva, todo lo que queda es utilizar algunas técnicas estándar de posexplotación del kernel para filtrar el token de un proceso elevado como System (PID 4) y sobrescribir el token de un proceso diferente.

Explotación en la naturaleza

Después del lanzamiento público de nuestro código de exploit, Xiaoliang Liu (@flame36987044) de 360 Icesword Lab reveló públicamente por primera vez que descubrieron una muestra que explotaba esta vulnerabilidad en la naturaleza (ITW) a principios de este año. La técnica utilizada por la muestra de ITW era diferente a la nuestra. El atacante activa la vulnerabilidad usando la función correspondiente de la API de Winsock, ProcessSocketNotifications , en lugar de llamar al afd.sys controlador directamente, como en nuestro exploit.

La declaración oficial de 360 Icesword Lab es la siguiente:

“360 IceSword Lab se centra en la detección y defensa de APT. Basándonos en nuestro sistema de radar de vulnerabilidades de día 0, descubrimos una muestra de exploit de CVE-2023-21768 en la naturaleza en enero de este año, que difiere de los exploits anunciados por @chompie1337 y @FuzzySec en que se explota a través de mecanismos del sistema y características de vulnerabilidad. El exploit está relacionado con NtSetIoCompletion y ProcessSocketNotifications , ProcessSocketNotifications obtiene el número de veces NtSetIoCompletion se llama, así que lo usamos para cambiar el recuento de privilegios".

Conclusión y reflexiones finales

Puede observar que en algunas partes de la ingeniería inversa nuestro análisis es superficial. A veces es útil observar solo algunos cambios de estado relevantes y tratar partes del programa como una caja negra, para evitar caer en una espiral irrelevante. Esto nos permitió explotar una vulnerabilidad rápidamente, aunque maximizar la velocidad de finalización no era nuestro objetivo.

Además, llevamos a cabo una revisión de diferenciación de parches de todas las vulnerabilidades notificadas enafd.sys indicado como “Explotación más probable”. Nuestra revisión reveló que todas las vulnerabilidades, excepto dos, eran un resultado de una validación incorrecta de los punteros pasados desde el modo de usuario. Esto demuestra que tener un conocimiento histórico de las vulnerabilidades pasadas, en particular dentro de un objetivo específico, puede ser fructífero para encontrar nuevas vulnerabilidades. Cuando se amplía la base de código, es probable que se repitan los mismos errores. Recuerde, nuevo código C == nuevos errores 😀. Como lo demuestra el descubrimiento de la vulnerabilidad antes mencionada que se está explotando de forma salvaje, se puede decir con seguridad que los atacantes también están vigilando de cerca las nuevas incorporaciones a la base de código.

La falta de soporte para la Protección de Acceso en Modo Supervisor (SMAP) en el kernel de Windows nos deja con abundantes opciones para construir nuevas primitivas de exploit de solo datos. Estas primitivas no son viables en otros sistemas operativos compatibles con SMAP. Por ejemplo, considere CVE-2021-41073, una vulnerabilidad en la implementación de Linux de buffers prerregistrados de anillo de E/S (la misma característica que abusamos en Windows para una primitiva de R/W). Esta vulnerabilidad puede permitir sobrescribir un puntero de kernel para un búfer registrado, pero no puede usarse para construir una primitiva arbitraria R/W porque si el puntero se reemplaza por un puntero de usuario y el kernel intenta leer o escribir allí, el sistema se bloqueará.

A pesar de los mejores esfuerzos de Microsoft por eliminar el querido exploit primitivo, es inevitable que se descubran nuevas primitivas que ocupen su lugar. Pudimos explotar la última versión de Windows 11 22H2 sin encontrar ninguna mitigación ni restricción por parte de las características de seguridad basada en virtualización como HVCI.

