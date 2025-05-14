Windows Defender Application Control (WDAC) est une fonctionnalité de sécurité de Windows qui permet d’empêcher l’exécution de codes non autorisés (tels que des logiciels malveillants ou des exécutables et des scripts non fiables) sur un système. Il s’agit d’un mécanisme de liste blanche d’applications qui applique des politiques n’autorisant l’exécution sur un système que des exécutables, scripts et pilotes explicitement de confiance. Il est fréquemment utilisé dans des environnements hautement sécurisés ou étroitement contrôlés où la sécurité et l’intégrité du système sont critiques, comme ceux que l’équipe de simulation X-Force Red Adversary est chargée de tester.
Il y a quelques semaines, mon collègue Bobby Cooke a publié un article de blog détaillant une méthode permettant de contourner les politiques WDAC les plus strictes en installant une porte dérobée dans des applications Electron de confiance. Je vous recommande vivement de lire son article de blog pour comprendre comment les applications Electron utilisent Node.js et comment elles peuvent être dotées d’une porte dérobée.
Dans le cadre de cette recherche, il a également rendu Loki C2 open source, un cadre des exigences de commande et de contrôle basé sur Node.js. Grâce à l’excellent travail de Bobby et de Dylan Tran dans le développement de Loki C2, l’équipe X-Force Adversary Simulation a réussi à obtenir l’exécution de code sur des engagements dans des environnements renforcés qui utilisent WDAC.
Alors, où cette recherche intervient-elle ? La technique susmentionnée présente un inconvénient : vous êtes limité à l’exécution de code JavaScript uniquement, et vous ne pouvez pas exécuter de code natif, comme le chargement de DLL ou l’exécution d’EXE. Vous ne pouvez pas non plus exécuter de shellcode pour lancer une charge utile C2 de phase 2. Cet article de blog décrit une technique que nous avons utilisée pour contourner ces restrictions.
Pour commencer, Bobby et moi avons entrepris une rétro-ingénierie des modules Node.js chargés par les applications Electron, à la recherche de vulnérabilités qui pourraient permettre l’exécution de code de bas niveau, au niveau de l’instruction. Après quelques premières recherches et sur la suggestion de jeffssh, mon attention s’est tournée vers le moteur V8 utilisé par Node.js et par Chrome.
Au lieu de trouver une faille dans un module Node.js, pourquoi ne pas exploiter le moteur V8 avec un jour-N ?
Le scénario d’attaque est familier : introduire un binaire vulnérable mais de confiance, et abuser du fait qu’il est de confiance pour prendre pied dans le système. Dans ce cas, nous utilisons une application Electron de confiance avec une version vulnérable de V8, en remplaçant main.js par un exploit V8 qui exécute l’étape 2 en tant que charge utile, et voilà, nous avons une exécution native de shellcode. Si l’application exploitée est inscrite sur la liste blanche ou signée par une entité de confiance (telle que Microsoft) et qu’elle est normalement autorisée à fonctionner dans le cadre de la politique WDAC employée, elle peut servir de réceptacle à la charge utile malveillante.
Outre la possibilité d’exécuter librement un shellcode, cette approche présente également l’avantage d’exécuter un shellcode dans le contexte d’un processus de type navigateur, ce qui présente des avantages. Un comportement qui pourrait autrement être signalé comme suspect par EDR semble normal pour un navigateur, comme par exemple le mappage de la mémoire RWX pour le code Just-In-Time (JIT).
Cette approche semblait assez simple, mais j’avais quelques questions en suspens. Un exploit public de Chrome V8 (N-day) fonctionnerait-il réellement dans une application Electron ? En quoi le moteur V8 utilisé dans Chrome diffère-t-il de celui de Node.js ? De quelles modifications l’exploit aura-t-il besoin ? Comment puis-je déboguer cela ?
Il s’avère qu’il existe des travaux publics sur l’exploitation des exploits V8 dans les applications Electron, ce que, malheureusement pour moi, je n’ai découvert qu’une fois mon travail terminé. Turbo0 fait un excellent travail en couvrant le processus (un peu agaçant) d’adapter un exploit v8 public et ses primitives de lecture/écriture correspondantes pour fonctionner dans une application Electron. L’article de blog de Turb0 couvre déjà de nombreux détails techniques approfondis de ce à quoi j’ai dû faire face, et je vous recommande vivement de le consulter. Le reste de cet article de blog se concentrera sur les dernières étapes du cycle de développement des exploits en ce qui concerne le ciblage de Windows dans le but précis de créer un contournement WDAC, et les problèmes rencontrés lors de l’opérationnalisation de l’exploit pour un usage réel.
La toute première chose que je devais faire était de déterminer les cibles exactes. J’ai dû choisir une application Electron de confiance et choisir une vulnérabilité pour l’exploiter. J’avais très peu d’expérience en matière d’exploitation de navigateur avant cela, et la vulnérabilité choisie devait donc disposer d’un exploit public à utiliser comme point de départ.
Je ne connaissais pas la mesure dans laquelle les versions V8 correspondaient à la version utilisée par Electron, ni comment savoir si elle était vraiment vulnérable. La version V8 d’Electron est souvent en retard par rapport à la dernière version V8 de Chrome. Les mainteneurs Electron rééditent les correctifs de sécurité importants des versions plus récentes dans la version Electron donnée qu’ils ont gelée. Ainsi, si Electron utilise une version plus ancienne de V8, cela ne signifie pas nécessairement qu’elle est vulnérable à un bug, puisqu’un correctif a pu être reporté. Les correctifs appliqués, sélectionnés avec précaution, sont stockés ici.
J’ai décidé que l’approche la plus simple serait d’utiliser une vulnérabilité qui a été corrigée après la publication de la version de l’application. De cette manière, il n’y aurait aucune chance que cette version de l’application ait déjà été corrigée. Après quelques recherches, j’ai trouvé des téléchargements pour les deux dernières années de versions de VSCode. Je disposais d’une gamme décente d’applications vulnérables signées Microsoft parmi lesquelles choisir 😊.
Pour commencer, j’ai simplement pris une récente PoC d’un exploit V8 public et j’ai détourné l’application Electron vulnérable avec l’exploit, en remplaçant main.js par l’exploit. Ensuite, j’ai croisé les doigts. Après tout, pourquoi ça ne serait pas aussi simple que ça ? J’espérais au moins un plantage. Sans surprise, rien ne s’est produit lorsque j’ai lancé l’application. À contrecœur, je savais que j’allais devoir concevoir un V8 pour comprendre ce qui se passait à un niveau plus profond. En créant un V8 moi-même, je pourrais créer la version debug (d8), entrer dans les détails de l’exploit, puis l’ajuster à la version spécifique que je ciblais.
Mon premier objectif était d’établir une « vérité terrain », c’est-à-dire de reproduire l’environnement exact où l’exploit est connu pour fonctionner. Ensuite, je pourrais examiner les différences entre cette version et la version que je ciblais pour comprendre ce qui n’allait pas.
La plupart des exploits publics V8 que j’ai trouvés ciblent Linux. J’ai donc commencé par compiler V8 sur Linux, en vérifiant le commit exact visé par l’exploit que j’ai choisi. J’ai ensuite lancé l’exploit pour m’assurer qu’il fonctionnait. Heureusement, c’est le cas. J’avais maintenant ma vérité terrain.
À partir de là, j’ai compilé la version de V8 que je visais (la même que celle utilisée par l’application Electron) mais sur Linux. L’exploit n’a pas fonctionné dès le départ. L’avantage de créer un projet vous-même est que vous pouvez avoir autant d’introspection dans le code que nécessaire. En particulier, V8 possède d8, le shell autonome du moteur JavaScript V8, principalement utilisé pour tester, déboguer et exécuter du code JavaScript et WebAssembly en dehors d’un navigateur ou d’un environnement Node.js. d8 dispose de fonctionnalités de débogage internes activées avec le
Je pourrais ainsi imprimer les adresses des objets qui m’intéressent et ajuster les décalages codés de l’exploit public en dur. Là, je commençais à avancer. J’avais juste besoin de transférer mon exploit sur Windows.
Compiler une ancienne version de V8 sous Windows m’a donné du fil à retordre. Je devais résoudre un tas de problèmes liés aux dépendances, j’ai donc apporté quelques modifications internes douteuses au code. Les détails m’échappent, mon cerveau les a bloqués pour ma propre protection. Après des heures de lutte, j’ai enfin pu compiler la version dont j’avais besoin ! À ma grande surprise, l’exploit Linux a fonctionné sous Windows sans aucun ajustement.
Maintenant, il ne restait plus qu’à tester l’exploit sur l’application Electron et à retenir mon souffle... Oups, ça n’a pas fonctionné ! Mais pourquoi ?
Au début, j’avais bon espoir, car la cible a planté. Après tout, je n’avais pas adapté la charge utile Linux à Windows, et je ne pouvais donc pas m’attendre à ce qu’il se passe quelque chose d’intéressant. Afin de confirmer ce comportement, j’ai modifié la charge utile de l’exploit pour qu’elle s’exécute à l’adresse 0x4141414141. C’est une technique courante utilisée par les auteurs d’exploits pour voir et prouver qu’ils ont pris le contrôle du programme en contrôlant l’adresse du pointeur d’instructions. Cependant, après avoir examiné le crash dans WinDbg, je ne voyais pas ce que je voulais. J’ai eu une erreur de segmentation lorsque j’ai remplacé le pointeur de fonction ciblé.
Vous vous souvenez de l’histoire d’Electron qui sélectionne les commits V8 dont j’ai parlé précédemment ? Il s’avère que même si l’application était vulnérable au bug que j’exploitais, la méthode d’évasion du bac à sable utilisée par l’exploit public avait déjà été corrigée via un cherry pick. Si vous n’êtes pas familier avec le bac à sable/la cage de mémoire V8, vous pouvez en savoir plus à ce sujet ici. Il s’agit essentiellement d’un moyen de rendre l’exploitation de V8 plus difficile en cas de vulnérabilité.
Pour comprendre ce qui se passait, j’ai dû à nouveau construire la version ciblée V8, cette fois en appliquant les correctifs choisis. En plus des correctifs de sécurité, Node.js applique aussi des correctifs spécifiques Node.js à la version V8 utilisée par Electron. Il m’a fallu du temps pour réaliser que j’avais besoin de faire cela, car la façon dont Electron et Node.js gèrent leurs différentes dépendances n’était pas immédiatement claire.
Après un ou deux jours à essayer de m’assurer que la version V8 que je compilais était *identique* à ma cible et à tenter de lire les techniques récentes d’évasion de bac à sable, j’ai avancé. J’ai pu trouver une technique d’évasion qui fonctionnerait pour ma cible. Après avoir ajusté l’exploit, j’ai enfin pu faire planter l’application en contrôlant le pointeur d’instruction. Une douce victoire, j’en voyais enfin le bout…
À ce stade, il ne restait plus qu’à modifier la charge utile de l’exploit public pour exécuter notre charge utile C2 à la place. Ce changement apparemment simple s’est avéré plus ennuyeux que je ne le pensais. La charge utile Linux de l’exploit public consistait simplement à ouvrir un shell, et sa taille ne faisait que quelques octets. La charge utile du C2 était... beaucoup plus volumineuse que cela.
Si vous connaissez le codage en shellcode, vous savez que l’écriture de shellcode Windows est plus ennuyeuse que le shellcode sous Linux, principalement parce qu’il n’existe aucun moyen simple d’effectuer des appels système directs indépendants de la position comme c’est le cas sous Linux. La charge utile devait également être « JOP smuggled » dans un tableau à virgule flottante :
Il est évident que l’ensemble de la charge utile de l’étape C2 (d’une taille de plusieurs milliers d’octets) ne pouvait pas s’exécuter de la sorte. J’ai donc dû écrire une charge utile d’amorçage qui mappait une page exécutable, copiait la charge utile finale dessus puis y sautait.
Le problème avec la charge utile d’amorçage est que, même si j’avais le contrôle du programme, je n’avais aucun moyen de transmettre des arguments à la charge utile exécutée. Ainsi, mon shellcode dissimulé ne connaîtrait pas l’adresse de la charge utile finale à copier. J’ai contourné ce problème grâce à ce que j’ai appelé « argument smuggling » (dissimulation d’arguments).
Je savais que l’adresse de l’objet JSFunction écrasé serait stockée dans le registre rcx. Donc, en utilisant la primitive d’écriture arbitraire, j’ai stocké la page mappée dans l’un des champs de l’objet qui ne serait pas nécessaire. Cela a demandé un peu de tâtonnements, car l’écrasement de certains décalages provoquait des plantages. J’ai fait de même pour la valeur à copier et pour l’offset où la copier. Le décalage du champ pourrait être codé en dur dans le shellcode, afin qu’il sache où copier la charge utile. J’ai appelé la charge utile n fois, où n est le nombre d’octets à copier.
TurboFan, le compilateur d’optimisation de V8, a contrecarré mes plans. En raison des optimisations de TurboFan, la dissimulation de séquences d’instructions traduites en plusieurs nombres à virgule flottante de la même valeur n’entraînait qu’une seule instance de cette valeur en mémoire. Cela a limité la fréquence à laquelle les instructions pouvaient être répétées. J’ai contourné ce problème en rendant mon shellcode aussi compact que possible et en faisant varier la position des instructions dissimulées si je devais absolument répéter une instruction, de sorte que la valeur à virgule flottante soit différente et qu’il n’y ait pas d’entrées répétées.
J’ai également rencontré des problèmes pour copier le shellcode si la charge utile de l’étape 2 était trop volumineuse, probablement en raison du nombre de fois où j’ai dû appeler la même JSFunction écrasée, et du fait que TurboFan essayait d’optimiser cela. J’ai fini par contourner ce problème en copiant et en collant plusieurs boucles dans « WriteShellcode » au lieu d’une seule grosse boucle. Horriblement moche, mais ça a marché ! Plus tard, Bobby et Dylan ont échangé la charge utile C2 contre un stager qui récupérait la charge utile plus volumineuse à partir du stockage blob, de sorte que la charge utile finale n’avait pas besoin d’être stockée sur le disque. Cela a également permis de maintenir la taille du fichier main.js à un niveau raisonnable. !
La préparation à l’utilisation opérationnelle réelle des exploits doit toujours inclure des tests dans différents environnements. Dans le contexte de l’engagement, nous ne savions pas dans quel environnement la charge utile s’exécuterait, mais seulement qu’il s’agissait d’un système Windows dans lequel le WDAC était probablement activé. Par conséquent, l’exploit devait fonctionner quel que soit le système d’exploitation. J’étais persuadé que, puisque la version de V8 de l’application et toutes les dépendances étaient contenues dans l’application, on ne rencontrerait pas beaucoup de variabilité. Cette hypothèse était erronée.
Pour des raisons qui m’échappent, l’offset du pointeur de fonction vulnérable à écraser changeait d’une version de Windows à l’autre. Cela n’avait aucun sens car, si j’ai bien compris, la distance de décalage est déterminée par le moteur V8 JIT, dont les bibliothèques sont chargées directement depuis le package de l’application. Cela signifie que les mêmes bibliothèques V8 sont chargées quel que soit le système d’exploitation. Pour rendre les choses encore plus confuses, la variation ne semblait pas suivre un quelconque modèle. L’offset était parfois décalé de 4 octets sur certaines versions de Windows (anciennes et récentes). C’était particulièrement ennuyeux, car il n’y avait aucun moyen (d’après ce que je pouvais dire) de trouver le décalage approprié dans l’exploit JavaScript. La seule façon de le calculer était d’utiliser le shell de débogage pour lire l’adresse mémoire et faire les calculs, ce qui n’était évidemment pas possible à partir de l’application Electron de production. TLDR : la variation des décalages ne peut pas être calculée lors de l’exécution de l'exploit.
Pour contourner le problème de décalage incohérent, Bobby et Dylan ont retravaillé l’exploit afin que main.js le lance plusieurs fois, en essayant les différents décalages possibles jusqu’à ce qu’il réussisse. Cela a été fait en demandant au processus Code initial d’effectuer une boucle. Cette boucle générait des processus enfants qui tentaient l’exploit avec un décalage unique. Si l’exploit échouait, le processus enfant était interrompu. Si l’exploit réussissait, le shellcode s’exécutait et écrivait un fichier Mutex avant de déployer la phase 2 du C2. Une fois l’exploit réussi, le processus initial sortait de la boucle et restait en veille pour toujours.
Même si cela signifiait qu’une tentative avec le mauvais décalage provoquait un plantage, nos tests ont révélé qu’il n’y avait aucune erreur visible pour l’utilisateur et que l’application semblait toujours fonctionner de manière fluide. Bien que cette solution ne soit pas la plus propre et qu’elle soit quelque peu bruyante en raison des plantages, le temps était compté. C’est ce que nous appelons dans le métier « JIT xdev », et cela a parfaitement fonctionné pour nos besoins.
Évidemment, nous ne voulions pas que l’exploit soit évident si nous étions repérés et que quelqu’un analysait le point d’entrée main.js de l’application. Pour éviter cela, nous avons appliqué un obfusquateur JavaScript sur le code d’exploit, ce qui le rendait pratiquement incompréhensible à l’œil humain. Grâce au talent et au dévouement de Chris Spehn, qui gère le pipeline CI/CD de charges utiles de l’équipe, nous avons pu rationaliser la livraison de cette charge utile et ré-obfusquer le code à chaque génération de la charge utile, ce qui nous a permis de réutiliser l’application indéfiniment avec un code d'exploit différent à chaque fois. Cela a permis d'éviter que la charge utile ne soit détectée par signature. Cela s’est avéré particulièrement utile, car malheureusement, la première fois que nous avons essayé d’utiliser cette capacité, nous avons été repérés parce que l’utilisateur avait signalé l’e-mail d’hameçonnage 🙁. Il est intéressant de noter que même si la Blue Team du client a analysé l’application issue de l’e-mail de phishing, elle n’a pas découvert l’objectif de l’application ni identifié l’exploit V8 intégré.
Je ne comprends toujours pas pourquoi les décalages des fonctions JIT dépendent du système d’exploitation, puisque toutes les bibliothèques V8 concernées sont censées être intégrées à l’application Electron. Si quelqu’un a une idée de la raison de ce phénomène, qu’il me le fasse savoir !
Electron a déployé une fonctionnalité expérimentale pour l’intégrité qui vérifie l’intégrité de tous les fichiers de l’application au moment de l’exécution. Elle est disponible sur macOS depuis la version 16 et sous Windows depuis la version 30. Les développeurs d’applications peuvent activer ce fusible Electron pour s’assurer qu’aucun des fichiers d’application n’est altéré. Dans le cas contraire, le processus s’arrêtera automatiquement et rien ne sera exécuté.
Cette fonctionnalité empêche de modifier les fichiers de l’application Electron, y compris le fichier main.js, et contrecarre les techniques mentionnées. Cependant, elle n’a pas encore été implémentée dans les applications les plus populaires. Si cette fonctionnalité venait à être plus largement utilisée, il convient de noter que les anciennes versions de l’application, antérieures au fusible d’intégrité, resteront vulnérables et utilisables pour cette attaque.
Bobby Cooke & Dylan Tran - Aider à rendre l’exploit opérationnel
Dylan Tran – Création de diagrammes
Chris Spehn– Intégrer cette charge utile à notre pipeline CI/CD (et tout le reste du travail DevOps ingrat que vous avez fait pour l’équipe)
jeffssh – Inspiration
j j – Un maître hacker V8 dont les PoC V8 prolifiques ont énormément aidé
