Vous remarquerez peut-être que, dans certaines parties de la rétro-ingénierie, notre analyse est superficielle. Il est parfois utile de n’observer que certains changements d’état pertinents et de traiter certaines parties du programme comme une boîte noire, afin d’éviter de s'égarer dans des détails superflus. Cela nous a permis de développer un exploit rapidement, même si maximiser la vitesse de réalisation n’était pas notre objectif.

De plus, nous avons effectué une analyse différentielle des correctifs pour toutes les vulnérabilités signalées en afd.sys indiqué comme « Exploitation plus probable ». Notre analyse a révélé que toutes les vulnérabilités, sauf deux, résultaient d'une validation incorrecte des pointeurs transmis depuis le mode utilisateur. Cela montre qu’une connaissance historique des vulnérabilités passées, en particulier au sein d’une cible spécifique, peut s’avérer fructueuse pour trouver de nouvelles vulnérabilités. Lorsque la base de code est élargie, les mêmes erreurs sont susceptibles d’être répétées. N’oubliez pas que nouveau code C == nouveaux bugs 😀. Comme en témoigne la découverte de la vulnérabilité susmentionnée exploitée in-the-wild, on peut affirmer sans risque que les attaquants surveillent également de près les nouveaux ajouts à la base de code.

L’absence de prise en charge de la protection d’accès en mode superviseur (SMAP) dans le noyau Windows nous laisse de nombreuses options pour construire de nouvelles primitives d’exploitation orientées données (data-only). Ces primitives ne sont pas réalisables dans d’autres systèmes d’exploitation qui prennent en charge SMAP. Prenons l’exemple de la CVE-2021-41073, une vulnérabilité dans l’implémentation Linux des tampons pré-enregistrés d’anneau d’E/S (la même fonctionnalité que nous détournons dans Windows pour une primitive R/W). Cette vulnérabilité peut permettre d'écraser un pointeur noyau pour un tampon enregistré, mais elle ne peut pas être utilisée pour construire une primitive R/W arbitraire car si le pointeur est remplacé par un pointeur utilisateur et que le noyau tente de lire ou d’écrire à cet endroit, le système plantera.

Malgré les efforts de Microsoft pour éliminer des primitives d’exploitation populaires, de nouvelles primitives seront forcément découvertes pour les remplacer. Nous avons pu exploiter la dernière version de Windows 11 22H2 sans rencontrer aucune atténuation ni contrainte liée aux fonctionnalités de sécurité basées sur la virtualisation telles que le HVCI.