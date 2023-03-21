Anda mungkin memperhatikan bahwa di beberapa bagian dari rekayasa balik, analisis kami bersifat dangkal. Terkadang lebih membantu untuk hanya mengamati perubahan keadaan yang relevan dan memperlakukan sebagian program sebagai kotak hitam, agar tidak tersesat pada hal-hal yang tidak penting. Hal ini memungkinkan kami untuk menyelesaikan sebuah eksploit dengan cepat, meskipun mempercepat waktu penyelesaiannya bukanlah tujuan utama kami.

Selain itu, kami melakukan ulasan patch diffing terhadap semua kerentanan yang dilaporkan di afd.sys diindikasikan sebagai "Kemungkinan Besar Terjadi Eksploitasi". Ulasan kami mengungkapkan bahwa semua kecuali dua kerentanan adalah hasil dari validasi pointer yang tidak tepat yang diteruskan dari mode pengguna. Ini menunjukkan bahwa memiliki pengetahuan historis tentang kerentanan masa lalu, terutama dalam target tertentu, dapat bermanfaat untuk menemukan kerentanan baru. Ketika basis kode diperluas – kesalahan yang sama kemungkinan akan terulang. Ingat, kode C baru == bug baru 😀. Sebagaimana dibuktikan oleh ditemukannya kerentanan tersebut dieksploitasi di alam bebas (in the wild), dapat dikatakan dengan aman bahwa para penyerang juga memantau dengan cermat penambahan kode dasar yang baru.

Kurangnya dukungan untuk Supervisor Mode Access Protection (SMAP) di kernel Windows memberi kita banyak pilihan untuk membangun primitif mengeksploitasi data saja yang baru. Primitif ini tidak layak di sistem operasi lain yang mendukung SMAP. Sebagai contoh, pertimbangkan CVE-2021-41073, sebuah kerentanan dalam implementasi I/O Ring buffer yang sudah didaftarkan sebelumnya pada Linux, (fitur yang sama yang kita gunakan pada Windows untuk primitif R/W). Kerentanan ini dapat memungkinkan penimpaan kernel pointer untuk sebuah registered buffer, namun tidak dapat digunakan untuk membangun primitif baca/tulis sewenang-wenang (arbitrary R/W primitive). Jika pointer diganti dengan pointer milik user dan kernel mencoba membaca atau menulis ke sana, sistem akan mengalami crash.

Terlepas dari upaya terbaik dari Microsoft untuk membunuh primitif yang dicintai dengan mengeksploitasi, pasti akan ada primitif baru yang akan ditemukan untuk menggantikannya. Kami dapat mengeksploitasi versi terbaru Windows 11 22H2 tanpa menghadapi mitigasi atau kendala apa pun dari fitur Keamanan Berbasis Virtualisasi seperti HVCI.