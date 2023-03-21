Keamanan

Selasa Tambalan → Rabu Eksploitasi: Mengeksploitasi driver fungsi tambahan Windows untuk WinSock (afd.sys) dalam 24 jam

Penyusun

Valentina Palmiotti

Head of X-Force Offensive Research (XOR)

IBM

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

'Selasa Patch, Rabu Eksploitasi' adalah pepatah peretas lama yang mengacu pada persenjataan kerentanan sehari setelah patch keamanan bulanan tersedia untuk umum. Seiring dengan peningkatan keamanan dan mitigasi mengeksploitasi yang semakin canggih, jumlah riset dan pengembangan yang diperlukan untuk membuat eksploitasi yang disenjatai pun meningkat. Ini sangat relevan untuk kerentanan korupsi memori.

Tangkapan layar dibuat untuk postingan blog

Gambar 1 — Garis waktu eksploitasi

Namun, dengan penambahan fitur-fitur baru (serta kode C yang tidak aman terhadap memori) dalam kernel Windows 11, permukaan serangan baru yang rentan dapat muncul. Dengan memusatkan perhatian pada kode yang baru diperkenalkan ini, kami menunjukkan bahwa kerentanan yang dapat dengan mudah dijadikan senjata masih sering terjadi. Dalam postingan blog ini, kami menganalisis dan mengeksploitasi kerentanan di driver Windows Ancillary Function Driver for Winsock, afd.sys, untuk Local Privilege Escalation (LPE) di Windows 11. Meskipun tidak satu pun dari kami memiliki pengalaman sebelumnya dengan modul kernel ini, kami dapat mendiagnosis, mereproduksi, dan mempersenjatai kerentanan dalam waktu sekitar satu hari. Anda dapat menemukan kode mengeksploitasi di sini.

Perbedaan patch dan analisis akar masalah

Berdasarkan perincian CVE-2023-21768 yang diterbitkan oleh Microsoft Security Response Center (MSRC), kerentanan ada dalam Ancillary Function Driver (AFD), yang nama file binernya adalah afd.sys. Modul AFD adalah titik masuk kernel untuk APIWinsock. Dengan menggunakan informasi ini, kami menganalisis versi driver dari Desember 2022 dan membandingkannya dengan versi yang baru dirilis pada Januari 2023. Sampel ini dapat diperoleh satu per satu dari Winbindex tanpa proses yang memakan waktu untuk mengekstrak perubahan dari patch Microsoft. Dua versi yang dianalisis ditunjukkan di bawah ini.

  • AFD.sys/Windows 11 22H2/10.0.22621.608 (Desember 2022)
  • AFD.sys/Windows 11 22H2/10.0.22621.1105 (Januari 2023)

Ghidra digunakan untuk membuat ekspor biner untuk kedua file ini sehingga dapat dibandingkan di BinDiff. Gambaran umum fungsi yang cocok ditunjukkan di bawah ini.

Tangkapan layar dibuat dari perbandingan biner dari AFD.sys

Gambar 2 — Perbandingan biner AFD.sys

Hanya satu fungsi yang tampaknya telah diubah, afd!AfdNotifyRemoveIoCompletion . Ini secara signifikan mempercepat analisis kami tentang kerentanan. Kami kemudian membandingkan kedua fungsi tersebut. Tangkapan layar di bawah ini menunjukkan kode yang diubah sebelum dan sesudah patch ketika melihat kode yang telah didekompilasi di Binary Ninja.

Pra-patch, afd.sys version 10.0.22621.608 .

Tangkapan layar dibuat untuk postingan blog

Gambar 3 - Pra-patch afd!AfdNotifyRemoveIoCompletion

Pasca-patch, afd.sys versi 10.0.22621.1105.

Tangkapan layar dibuat untuk postingan blog

Gambar 4 - Pasca-patch afd!AfdNotifyRemoveIoCompletion

Perubahan yang ditunjukkan di atas ini adalah satu-satunya pembaruan untuk fungsi yang diidentifikasi. Beberapa analisis cepat menunjukkan bahwa pemeriksaan sedang dilakukan berdasarkan PreviousMode . Jika PreviousMode adalah nol (menunjukkan bahwa panggilan berasal dari kernel) nilai ditulis ke pointer yang ditentukan oleh bidang dalam struktur yang tidak diketahui. Jika, di sisi lain, PreviousMode bukan nol maka ProbeForWrite dipanggil untuk memastikan bahwa pointer yang ditetapkan dalam field adalah alamat yang valid yang berada dalam mode pengguna.

Pemeriksaan ini tidak ada di versi pra-patch driver. Karena fungsi memiliki pernyataan sakelar khusus untuk PreviousMode , asumsinya adalah bahwa pengembang bermaksud menambahkan cek ini tetapi lupa (kita semua terkadang kekurangan kopi ☕!).

Dari pembaruan ini, kita dapat menyimpulkan bahwa penyerang dapat mencapai jalur kode ini dengan nilai terkontrol difield_0x18 dari struktur yang tidak diketahui. Jika seorang penyerang dapat mengisi field ini dengan alamat kernel, maka dimungkinkan untuk menciptakan primitif kernel Write-Where secara arbitrer. Pada tahap ini, belum jelas nilai apa yang sedang dituliskan, tetapi nilai apa pun berpotensi dimanfaatkan sebagai primitif Eskalasi Hak Istimewa Lokal.

Prototipe fungsi itu sendiri berisi kedua PreviousMode nilai dan penunjuk ke struktur yang tidak diketahui sebagai argumen pertama dan ketiga masing-masing.

Tangkapan layar terbuat dari afd!AfdNotifyRemoveIoCompletion function prototype

Gambar 5 — Prototipe fungsi afd!AfdNotifyRemoveIoCompletion

Rekayasa Terbalik

Sekarang kita mengetahui lokasi kerentanannya, tetapi tidak mengetahui cara memicu eksekusi jalur kode yang rentan. Kami akan melakukan beberapa rekayasa balik sebelum mulai mengerjakan bukti konsep (PoC).

Pertama, fungsi yang rentan diperiksa silang untuk memahami di mana dan bagaimana fungsi tersebut digunakan.

Tangkapan layar terbuat dari afd!AfdNotifyRemoveIoCompletion cross-references

Gambar 6 — Referensi silang afd!AfdNotifyRemoveIoCompletion

Satu panggilan ke fungsi rentan dilakukan di afd!AfdNotifySock .

Kami mengulangi prosesnya, mencari referensi silang ke AfdNotifySock . Kami tidak menemukan panggilan langsung ke fungsi, tetapi alamatnya muncul di atas tabel pointer fungsi yang bernama AfdIrpCallDispatch .

Tangkapan layar yang dibuat dari afd!AfdIrpCallDispatch

Gambar 7 — afd!AfdIrpCallDispatch

Tabel ini berisi rutinitas pengiriman untuk driver AFD. Rutinitas pengiriman digunakan untuk menangani permintaan dari aplikasi Win32 dengan memanggil DeviceIoControl. Kode kontrol untuk setiap fungsi ditemukan di AfdIoctlTable .

Namun, pointer di atas tidak berada dalam AfdIrpCallDispatch  tabel seperti yang kami harapkan. Dari slide Recon talk milik Steven Vittitoe,   kami menemukan bahwa sebenarnya ada dua tabel pengiriman untuk AFD. Yang kedua AfdImmediateCallDispatch . Dengan menghitung jarak antara awal tabel ini dan di mana penunjuk ke AfdNotifySock  disimpan, kita dapat menghitung indeks ke dalam AfdIoctlTable  yang menunjukkan kode kontrol untuk fungsi tersebut adalah 0x12127 .

Tangkapan layar terbuat dari afd! AfdIoctlTabel

Gambar 8 — afd! AfdIoctlTabel

Perlu dicatat bahwa ini adalah kode kontrol input/output (IOCTL) terakhir dalam tabel, menunjukkan bahwa AFDNotifySock kemungkinan merupakan fungsi pengiriman baru yang baru-baru ini ditambahkan ke driver AFD.

Pada titik ini, kami memiliki beberapa opsi. Kita dapat melakukan rekayasa balik pada API Winsock yang terkait di ruang pengguna untuk memahami lebih jelas bagaimana fungsi kernel dasarnya dipanggil, atau melakukan rekayasa balik langsung pada kode kernel dan memanggilnya secara langsung. Kami sebenarnya tidak tahu fungsi Winsock mana yang sesuai AfdNotifySock , jadi kami memilih untuk melakukan yang terakhir.

Kami menemukan beberapa kode yang diterbitkan oleh x86Matthew yang melakukan operasi soket dengan memanggil driver AFD secara langsung, tanpa menggunakan perpustakaan Winsock. Ini menarik dari perspektif stealth, tetapi untuk tujuan kami, ini adalah templat yang bagus untuk membuat pegangan ke soket TCP untuk membuat permintaan IOCTL ke driver AFD. Dari sana, kami dapat mencapai fungsi target, yang dibuktikan dengan mencapai breakpoint yang ditetapkan di WinDbg saat melakukan debug kernel.

Tangkapan layar yang dibuat dari breakpoint afd!AfdNotifySock

Gambar 9 — Titik henti afd!AfdNotifySock

Sekarang, lihat kembali prototipe fungsi untuk DeviceIoControl , melalui mana kami memanggil driver AFD dari ruang pengguna. Salah satu parameter, lpInBuffer , adalah buffer mode pengguna. Seperti disebutkan pada bagian sebelumnya, kerentanan ini muncul karena pengguna dapat memberikan sebuah pointer yang tidak divalidasi kepada driver di dalam sebuah struktur data yang tidak dikenal. Struktur ini diteruskan langsung dari aplikasi mode pengguna kami melalui parameter lpInBuffer. Itu sudah masuk ke dalam AfdNotifySock  sebagai parameter keempat, dan ke AfdNotifyRemoveIoCompletion  sebagai parameter ketiga.

Pada titik ini, kita tidak tahu cara mengisi data di LpinBuffer, yang akan kita panggil AFD_NOTIFYSOCK_STRUCT , untuk melewati pemeriksaan yang diperlukan untuk mencapai jalur kode yang rentan di AfdNotifyRemoveIoCompletion . Sisa dari proses reverse engineering kami terdiri atas mengikuti aliran eksekusi dan memeriksa bagaimana mencapai kode yang rentan.

Mari kita bahas satu per satu pemeriksaannya.

Pemeriksaan pertama yang kita temui ada di awal AfdNotifySock :

Tangkapan layar terbuat dari afd! Pemeriksaan ukuran AFDNotifySock

Gambar 10 — Pemeriksaan ukuran afd!AFDNotifySock

Pemeriksaan ini memberi tahu kita bahwa ukuran AFD_NOTIFYSOCK_STRUCT  harus sama dengan 0x30  byte, jika tidak fungsi gagal dengan STATUS_INFO_LENGTH_MISMATCH .

Pemeriksaan berikutnya memvalidasi nilai di berbagai bidang dalam struktur kita:

validasi struktur afd!AfdNotifySock

Gambar 11 — Validasi struktur afd!AFDNotifySock

Pada saat itu kami tidak tahu apa saja yang berhubungan dengan bidang-bidang tersebut, jadi kami memasukkan 0x30  array byte diisi dengan 0x41  byte (AAAAAAAAA... ).

Pemeriksaan berikutnya yang kita temui adalah setelah pemanggilan ke ObReferenceObjectByHandle. Fungsi ini mengambil bidang pertama dari struktur input kita sebagai argumen pertamanya.

Tangkapan layar dibuat untuk postingan blog

Gambar 12 — afd!AfdNotifySock call nt!ObReferenceObjectByHandle

Panggilan harus kembali berhasil untuk melanjutkan ke jalur eksekusi kode yang benar, yang berarti bahwa kita harus meneruskan pegangan yang valid ke IoCompletionObject . Tidak ada cara yang didokumentasikan secara resmi untuk membuat objek jenis itu melalui Win32 API. Namun, setelah melakukan pencarian, kami menemukan fungsi NT yang tidak terdokumentasi  NtCreateIoCompletion yang dapat melakukan hal tersebut.

Setelah itu, kita mencapai loop yang penghitungnya adalah salah satu nilai dari struct kita:

Tangkapan layar yang dibuat dari loop afd!AfdNotifySock

Gambar 13 — Loop afd!AfdNotifySock

Loop ini memeriksa bidang dari struktur kami untuk memverifikasi bahwa itu berisi pointer mode pengguna yang valid dan menyalin data ke sana. Pointer bertambah setelah setiap iterasi loop. Kami mengisi pointer dengan alamat yang valid dan mengatur penghitung ke 1. Dari sini, kami akhirnya dapat mencapai fungsi rentan AfdNotifyRemoveIoCompletion .

Tangkapan layar terbuat dari panggilan afd!AfdNotifyRemoveIoCompletion

Gambar 14 — Panggilan afd!AfdNotifyRemoveIoCompletion

Begitu masuk AfdNotifyRemoveIoCompletion , pemeriksaan pertama ada di bidang lain dalam struktur kami. Itu harus bukan nol. Kemudian dikalikan dengan 0x20 dan diteruskan ke ProbeForWrite  bersama dengan bidang lain di struct kami sebagai parameter pointer. Dari sini kita dapat mengisi struct lebih lanjut dengan pointer mode pengguna yang valid (pData2 ) dan bidang DWLen = 1 (sehingga ukuran total diteruskan ke ProbeForWrite  sama dengan 0x20), dan cek lulus.

Tangkapan layar terbuat dari afd! Afd!AfdNotifyRemoveIoCompletion field check

Gambar 15 — Pemeriksaan lapangan afd! Afd!AfdNotifyRemoveIoCompletion

Akhirnya, pemeriksaan terakhir yang harus dilewati sebelum mencapai kode target adalah panggilan ke IoRemoveCompletion yang harus mengembalikan 0 (STATUS_SUCCESS ).

Fungsi ini akan memblokir hingga:

  • Catatan penyelesaian tersedia untuk IoCompletionObject parameter
  • Waktu tunggu berakhir, yang diteruskan sebagai parameter fungsi

Kami mengontrol nilai batas waktu melalui struktur kami, tetapi hanya mengatur batas waktu 0 tidak cukup bagi fungsi untuk mengembalikan kesuksesan. Agar fungsi ini dapat kembali tanpa kesalahan, setidaknya harus ada satu catatan penyelesaian yang tersedia. Setelah beberapa riset, kami menemukan fungsi yang tidak didokumentasikan NtSetIoCompletion, yang secara manual menambah penghitung I/O yang tertunda pada IoCompletionObject . Memanggil fungsi ini pada IoCompletionObject yang kami buat sebelumnya memastikan bahwa panggilan ke IoRemoveCompletion returns STATUS_SUCCESS .

Tangkapan layar dibuat untuk postingan blog

Gambar 16 — afd!AfdNotifyRemoveIoCompletion check return nt!IoRemoveIoCompletion

Memicu write-where arbitrer

Setelah kita dapat menjangkau kode yang rentan, kita dapat mengisi bidang yang sesuai dalam struktur kita dengan alamat sembarang untuk menulis. Nilai yang kita tulis ke alamat berasal dari bilangan bulat yang penunjuknya dilewatkan ke panggilan ke IoRemoveIoCompletionIoRemoveIoCompletion  menetapkan nilai integer ini ke nilai pengembalian panggilan ke KeRemoveQueueEx .

Tangkapan layar dibuat untuk postingan blog

Gambar 17 — Nilai pengembalian nt!KeremoveQueueeX

Tangkapan layar dibuat untuk postingan blog

Gambar 18 — Penggunaan nilai returnnt!KeRemoveQueueEx

Dalam bukti konsep kami, nilai tulis ini selalu sama dengan 0x1 . Kami berspekulasi bahwa nilai pengembalian KeRemoveQueueEx adalah jumlah item yang dihapus dari antrean, tetapi tidak menyelidiki lebih lanjut. Pada titik ini, kami memiliki primitif yang kami butuhkan dan melanjutkan untuk menyelesaikan rantai eksploitasi. Kami kemudian mengkonfirmasi bahwa tebakan ini benar, dan nilai tulis dapat ditingkatkan secara sewenang-wenang dengan panggilan tambahan ke NtSetIoCompletion pada IoCompletionObject .

LPE dengan IORING

Dengan kemampuan untuk menulis nilai tetap (0x1) pada alamat kernel arbitrer, kami terus mengubahnya menjadi kernel penuh Read/Write arbitrer. Karena kerentanan ini memengaruhi versi terbaru Windows 11 (22H2), kami memilih untuk memanfaatkan kerusakan objek ring Windows I/O untuk membuat primitif kami. Yarden Shafir telah menulis sejumlah posting yang sangat baik pada ring I/O Windows dan juga mengembangkan dan mengungkapkan primitif yang kami memanfaatkan dalam rantai mengeksploitasi kami. Sejauh yang kami ketahui ini adalah contoh pertama di mana primitif ini telah digunakan dalam mengeksploitasi publik.

Ketika I/O Ring diinisialisasi oleh pengguna, dua struktur terpisah dibuat, satu di ruang pengguna dan satu di ruang kernel. Struktur-struktur tersebut ditunjukkan di bawah ini.

Objek kernel dipetakan ke nt!_IORING_OBJECT  dan ditunjukkan di bawah ini.

Tangkapan layar dibuat untuk postingan blog

Gambar 19 — inisialisasi nt!_IORING_OBJECT

Perhatikan bahwa objek kernel memiliki dua bidang, RegBuffersCount  dan RegBuffers , yang dikosongkan pada inisialisasi. Hitungan ini mengindikasikan berapa banyak operasi I/O yang dapat diantrekan untuk cincin I/O. Parameter lainnya adalah penunjuk ke daftar operasi yang sedang antre.

Di sisi ruang pengguna, ketika memanggil kernelbase!CreateIoRing Anda akan mendapatkan kembali pegangan I/O Ring pada saat sukses. Pegangan ini adalah penunjuk ke struktur yang tidak terdokumentasi (HIORING). Definisi kami tentang struktur ini diperoleh dari riset yang dilakukan oleh Yarden Shafir.

typedef struct _HIORING {

    HANDLE handle;

    NT_IORING_INFO Info;

    ULONG IoRingKernelAcceptedVersion;

    PVOID RegBufferArray;

    ULONG BufferArraySize;

    PVOID Tidak Diketahui;

    ULONG FileHandlesCount;

    ULONG SubQueueHead;

    ULONG SubQueueTail;

};

Jika kerentanan, seperti yang dibahas dalam postingan blog ini, memungkinkan Anda untuk memperbarui RegBuffersCount  dan RegBuffers  bidang, maka dimungkinkan untuk menggunakan API Ring I/O standar untuk membaca dan menulis memori kernel.

Seperti yang kita lihat di atas, kita dapat menggunakan kerentanan untuk menulis  0x1 di alamat kernel mana pun yang kita suka. Untuk mengatur primitif cincin I/O, kita cukup memicu kerentanan dua kali.

Pada pemicu pertama kami mengatur RegBufferCount  ke 0x1 .

Tangkapan layar terbuat dari nt!_IORING_OBJECT pertama kali memicu bug

Gambar 20 — nt! _IORING_OBJECT pertama kali memicu bug

Dan pada pemicu kedua kami mengatur RegBuffers ke alamat yang dapat kami alokasikan di ruang pengguna (seperti 0x0000000100000000).

Tangkapan layar terbuat dari nt! _IORING_OBJECT kedua kalinya memicu bug

Gambar 21 — nt! _IORING_OBJECT kedua kalinya memicu bug

Yang tersisa hanyalah mengantri operasi I/O dengan menulis pointer ke forgednt!_IOP_MC_BUFFER_ENTRY  struktur di alamat ruang pengguna (0x100000000 ). Jumlah entri harus sama dengan RegBuffersCount . Proses ini disorot dalam diagram di bawah ini.

Diagram dibuat untuk postingan blog

Gambar 22 — Menyiapkan ruang pengguna untuk I/O Ring kernel R/W primitif

Salah satunya nt!_IOP_MC_BUFFER_ENTRY  ditunjukkan pada tangkapan layar di bawah ini. Perhatikan bahwa tujuan operasi adalah alamat kernel (0xfffff8052831da20 ) dan bahwa ukuran operasi, dalam hal ini, adalah 0x8  byte. Tidak mungkin untuk mengetahui dari struktur apakah ini adalah operasi baca atau tulis. Arah operasi tergantung pada API mana yang digunakan untuk mengantri permintaan I/O. Menggunakan kernelbase!BuildIoRingReadFile hasil dalam penulisan kernel sembarang dan kernelbase!BuildIoRingWriteFile  menghasilkan pembacaan kernel arbitrer.

Tangkapan layar dibuat untuk postingan blog

Gambar 23 — Contoh operasi I/O Ring palsu

Untuk melakukan arbitrary write, sebuah operasi I/O ditugaskan untuk membaca data dari file handle dan menuliskan data tersebut ke sebuah alamat Kernel.

Diagram dibuat untuk postingan blog

Gambar 24 — Penulisan arbitrer I/O Ring

Sebaliknya, untuk melakukan pembacaan sewenang-wenang, operasi I/O ditugaskan untuk membaca data pada alamat kernel dan menulis data itu ke pegangan file.

Diagram yang terbuat dari I/O Ring dibaca arbitrer

Gambar 25 — Pembacaan arbitrer I/O Ring

Demo

Dengan pengaturan primitif, semua yang tersisa adalah menggunakan beberapa teknik pasca-eksploitasi kernel standar untuk membocorkan token dari proses yang ditinggikan seperti Sistem (PID 4) dan mengganti token dari proses yang berbeda.

Eksploitasi di alam liar

Setelah rilis publik kodeexploit kami, Xiaoliang Liu (@flame36987044) dari 360 Icesword Lab mengungkapkan secara publik untuk pertama kalinya, bahwa mereka menemukan sampel yang mengeksploitasi kerentanan ini di alam liar (ITW) awal tahun ini. Teknik yang digunakan oleh sampel ITW berbeda dari kami. Penyerang memicu kerentanan menggunakan fungsi API Winsock yang sesuai, ProcessSocketNotifications , alih-alih memanggil ke dalam afd.sys driver secara langsung, seperti dalam mengeksploitasi kami.

Pernyataan resmi dari 360 Icesword Lab adalah sebagai berikut:

“360 IceSword Lab berfokus pada deteksi dan pertahanan APT. Berdasarkan sistem radar kerentanan 0day kami, kami menemukan sampel mengeksploitasi CVE-2023-21768 di alam liar pada bulan Januari tahun ini, yang berbeda dari eksploitasi yang diumumkan oleh @chompie1337 dan @FuzzySec karena dieksploitasi melalui mekanisme sistem dan kerentanan fitur. Eksploitasi tersebut terkait dengan NtSetIoCompletion dan ProcessSocketNotifications , ProcessSocketNotifications mendapatkan jumlah kali NtSetIoCompletion disebut, jadi kami menggunakan ini untuk mengubah jumlah hak istimewa.”

Kesimpulan dan refleksi akhir

Anda mungkin memperhatikan bahwa di beberapa bagian dari rekayasa balik, analisis kami bersifat dangkal. Terkadang lebih membantu untuk hanya mengamati perubahan keadaan yang relevan dan memperlakukan sebagian program sebagai kotak hitam, agar tidak tersesat pada hal-hal yang tidak penting. Hal ini memungkinkan kami untuk menyelesaikan sebuah eksploit dengan cepat, meskipun mempercepat waktu penyelesaiannya bukanlah tujuan utama kami.

Selain itu, kami melakukan ulasan patch diffing terhadap semua kerentanan yang dilaporkan diafd.sys diindikasikan sebagai "Kemungkinan Besar Terjadi Eksploitasi". Ulasan kami mengungkapkan bahwa semua kecuali dua kerentanan adalah hasil dari validasi pointer yang tidak tepat yang diteruskan dari mode pengguna. Ini menunjukkan bahwa memiliki pengetahuan historis tentang kerentanan masa lalu, terutama dalam target tertentu, dapat bermanfaat untuk menemukan kerentanan baru. Ketika basis kode diperluas – kesalahan yang sama kemungkinan akan terulang. Ingat, kode C baru == bug baru 😀. Sebagaimana dibuktikan oleh ditemukannya kerentanan tersebut dieksploitasi di alam bebas (in the wild), dapat dikatakan dengan aman bahwa para penyerang juga memantau dengan cermat penambahan kode dasar yang baru.

Kurangnya dukungan untuk Supervisor Mode Access Protection (SMAP) di kernel Windows memberi kita banyak pilihan untuk membangun primitif mengeksploitasi data saja yang baru. Primitif ini tidak layak di sistem operasi lain yang mendukung SMAP. Sebagai contoh, pertimbangkan CVE-2021-41073, sebuah kerentanan dalam implementasi I/O Ring buffer yang sudah didaftarkan sebelumnya pada Linux, (fitur yang sama yang kita gunakan pada Windows untuk primitif R/W). Kerentanan ini dapat memungkinkan penimpaan kernel pointer untuk sebuah registered buffer, namun tidak dapat digunakan untuk membangun primitif baca/tulis sewenang-wenang (arbitrary R/W primitive). Jika pointer diganti dengan pointer milik user dan kernel mencoba membaca atau menulis ke sana, sistem akan mengalami crash.

Terlepas dari upaya terbaik dari Microsoft untuk membunuh primitif yang dicintai dengan mengeksploitasi, pasti akan ada primitif baru yang akan ditemukan untuk menggantikannya. Kami dapat mengeksploitasi versi terbaru Windows 11 22H2 tanpa menghadapi mitigasi atau kendala apa pun dari fitur Keamanan Berbasis Virtualisasi seperti HVCI.

