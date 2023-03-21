'Selasa Patch, Rabu Eksploitasi' adalah pepatah peretas lama yang mengacu pada persenjataan kerentanan sehari setelah patch keamanan bulanan tersedia untuk umum. Seiring dengan peningkatan keamanan dan mitigasi mengeksploitasi yang semakin canggih, jumlah riset dan pengembangan yang diperlukan untuk membuat eksploitasi yang disenjatai pun meningkat. Ini sangat relevan untuk kerentanan korupsi memori.
Gambar 1 — Garis waktu eksploitasi
Namun, dengan penambahan fitur-fitur baru (serta kode C yang tidak aman terhadap memori) dalam kernel Windows 11, permukaan serangan baru yang rentan dapat muncul. Dengan memusatkan perhatian pada kode yang baru diperkenalkan ini, kami menunjukkan bahwa kerentanan yang dapat dengan mudah dijadikan senjata masih sering terjadi. Dalam postingan blog ini, kami menganalisis dan mengeksploitasi kerentanan di driver Windows Ancillary Function Driver for Winsock, afd.sys, untuk Local Privilege Escalation (LPE) di Windows 11. Meskipun tidak satu pun dari kami memiliki pengalaman sebelumnya dengan modul kernel ini, kami dapat mendiagnosis, mereproduksi, dan mempersenjatai kerentanan dalam waktu sekitar satu hari. Anda dapat menemukan kode mengeksploitasi di sini.
Berdasarkan perincian CVE-2023-21768 yang diterbitkan oleh Microsoft Security Response Center (MSRC), kerentanan ada dalam Ancillary Function Driver (AFD), yang nama file binernya adalah afd.sys. Modul AFD adalah titik masuk kernel untuk APIWinsock. Dengan menggunakan informasi ini, kami menganalisis versi driver dari Desember 2022 dan membandingkannya dengan versi yang baru dirilis pada Januari 2023. Sampel ini dapat diperoleh satu per satu dari Winbindex tanpa proses yang memakan waktu untuk mengekstrak perubahan dari patch Microsoft. Dua versi yang dianalisis ditunjukkan di bawah ini.
Ghidra digunakan untuk membuat ekspor biner untuk kedua file ini sehingga dapat dibandingkan di BinDiff. Gambaran umum fungsi yang cocok ditunjukkan di bawah ini.
Gambar 2 — Perbandingan biner AFD.sys
Hanya satu fungsi yang tampaknya telah diubah,
Pra-patch,
Gambar 3 - Pra-patch afd!AfdNotifyRemoveIoCompletion
Pasca-patch, afd.sys versi 10.0.22621.1105.
Gambar 4 - Pasca-patch afd!AfdNotifyRemoveIoCompletion
Perubahan yang ditunjukkan di atas ini adalah satu-satunya pembaruan untuk fungsi yang diidentifikasi. Beberapa analisis cepat menunjukkan bahwa pemeriksaan sedang dilakukan berdasarkan
adalah nol (menunjukkan bahwa panggilan berasal dari kernel) nilai ditulis ke pointer yang ditentukan oleh bidang dalam struktur yang tidak diketahui. Jika, di sisi lain,
bukan nol maka ProbeForWrite dipanggil untuk memastikan bahwa pointer yang ditetapkan dalam field adalah alamat yang valid yang berada dalam mode pengguna.
Pemeriksaan ini tidak ada di versi pra-patch driver. Karena fungsi memiliki pernyataan sakelar khusus untuk
, asumsinya adalah bahwa pengembang bermaksud menambahkan cek ini tetapi lupa (kita semua terkadang kekurangan kopi ☕!).
Dari pembaruan ini, kita dapat menyimpulkan bahwa penyerang dapat mencapai jalur kode ini dengan nilai terkontrol di
field_0x18
Prototipe fungsi itu sendiri berisi kedua
nilai dan penunjuk ke struktur yang tidak diketahui sebagai argumen pertama dan ketiga masing-masing.
Gambar 5 — Prototipe fungsi afd!AfdNotifyRemoveIoCompletion
Sekarang kita mengetahui lokasi kerentanannya, tetapi tidak mengetahui cara memicu eksekusi jalur kode yang rentan. Kami akan melakukan beberapa rekayasa balik sebelum mulai mengerjakan bukti konsep (PoC).
Pertama, fungsi yang rentan diperiksa silang untuk memahami di mana dan bagaimana fungsi tersebut digunakan.
Gambar 6 — Referensi silang afd!AfdNotifyRemoveIoCompletion
Satu panggilan ke fungsi rentan dilakukan di
Kami mengulangi prosesnya, mencari referensi silang ke
Gambar 7 — afd!AfdIrpCallDispatch
Tabel ini berisi rutinitas pengiriman untuk driver AFD. Rutinitas pengiriman digunakan untuk menangani permintaan dari aplikasi Win32 dengan memanggil DeviceIoControl. Kode kontrol untuk setiap fungsi ditemukan di
Namun, pointer di atas tidak berada dalam
Gambar 8 — afd! AfdIoctlTabel
Perlu dicatat bahwa ini adalah kode kontrol input/output (IOCTL) terakhir dalam tabel, menunjukkan bahwa AFDNotifySock kemungkinan merupakan fungsi pengiriman baru yang baru-baru ini ditambahkan ke driver AFD.
Pada titik ini, kami memiliki beberapa opsi. Kita dapat melakukan rekayasa balik pada API Winsock yang terkait di ruang pengguna untuk memahami lebih jelas bagaimana fungsi kernel dasarnya dipanggil, atau melakukan rekayasa balik langsung pada kode kernel dan memanggilnya secara langsung. Kami sebenarnya tidak tahu fungsi Winsock mana yang sesuai
Kami menemukan beberapa kode yang diterbitkan oleh x86Matthew yang melakukan operasi soket dengan memanggil driver AFD secara langsung, tanpa menggunakan perpustakaan Winsock. Ini menarik dari perspektif stealth, tetapi untuk tujuan kami, ini adalah templat yang bagus untuk membuat pegangan ke soket TCP untuk membuat permintaan IOCTL ke driver AFD. Dari sana, kami dapat mencapai fungsi target, yang dibuktikan dengan mencapai breakpoint yang ditetapkan di WinDbg saat melakukan debug kernel.
Gambar 9 — Titik henti afd!AfdNotifySock
Sekarang, lihat kembali prototipe fungsi untuk
Pada titik ini, kita tidak tahu cara mengisi data di LpinBuffer, yang akan kita panggil
Mari kita bahas satu per satu pemeriksaannya.
Pemeriksaan pertama yang kita temui ada di awal
Gambar 10 — Pemeriksaan ukuran afd!AFDNotifySock
Pemeriksaan ini memberi tahu kita bahwa ukuran
Pemeriksaan berikutnya memvalidasi nilai di berbagai bidang dalam struktur kita:
Gambar 11 — Validasi struktur afd!AFDNotifySock
Pada saat itu kami tidak tahu apa saja yang berhubungan dengan bidang-bidang tersebut, jadi kami memasukkan
Pemeriksaan berikutnya yang kita temui adalah setelah pemanggilan ke ObReferenceObjectByHandle. Fungsi ini mengambil bidang pertama dari struktur input kita sebagai argumen pertamanya.
Gambar 12 — afd!AfdNotifySock call nt!ObReferenceObjectByHandle
Panggilan harus kembali berhasil untuk melanjutkan ke jalur eksekusi kode yang benar, yang berarti bahwa kita harus meneruskan pegangan yang valid ke
Setelah itu, kita mencapai loop yang penghitungnya adalah salah satu nilai dari struct kita:
Gambar 13 — Loop afd!AfdNotifySock
Loop ini memeriksa bidang dari struktur kami untuk memverifikasi bahwa itu berisi pointer mode pengguna yang valid dan menyalin data ke sana. Pointer bertambah setelah setiap iterasi loop. Kami mengisi pointer dengan alamat yang valid dan mengatur penghitung ke 1. Dari sini, kami akhirnya dapat mencapai fungsi rentan
Gambar 14 — Panggilan afd!AfdNotifyRemoveIoCompletion
Begitu masuk
Gambar 15 — Pemeriksaan lapangan afd! Afd!AfdNotifyRemoveIoCompletion
Akhirnya, pemeriksaan terakhir yang harus dilewati sebelum mencapai kode target adalah panggilan ke
yang harus mengembalikan 0 (
).
Fungsi ini akan memblokir hingga:
parameter
IoCompletionObject
Kami mengontrol nilai batas waktu melalui struktur kami, tetapi hanya mengatur batas waktu 0 tidak cukup bagi fungsi untuk mengembalikan kesuksesan. Agar fungsi ini dapat kembali tanpa kesalahan, setidaknya harus ada satu catatan penyelesaian yang tersedia. Setelah beberapa riset, kami menemukan fungsi yang tidak didokumentasikan NtSetIoCompletion, yang secara manual menambah penghitung I/O yang tertunda pada
. Memanggil fungsi ini pada
yang kami buat sebelumnya memastikan bahwa panggilan ke
returns
Gambar 16 — afd!AfdNotifyRemoveIoCompletion check return nt!IoRemoveIoCompletion
Setelah kita dapat menjangkau kode yang rentan, kita dapat mengisi bidang yang sesuai dalam struktur kita dengan alamat sembarang untuk menulis. Nilai yang kita tulis ke alamat berasal dari bilangan bulat yang penunjuknya dilewatkan ke panggilan ke
Gambar 17 — Nilai pengembalian nt!KeremoveQueueeX
Gambar 18 — Penggunaan nilai returnnt!KeRemoveQueueEx
Dalam bukti konsep kami, nilai tulis ini selalu sama dengan
. Kami berspekulasi bahwa nilai pengembalian
adalah jumlah item yang dihapus dari antrean, tetapi tidak menyelidiki lebih lanjut. Pada titik ini, kami memiliki primitif yang kami butuhkan dan melanjutkan untuk menyelesaikan rantai eksploitasi. Kami kemudian mengkonfirmasi bahwa tebakan ini benar, dan nilai tulis dapat ditingkatkan secara sewenang-wenang dengan panggilan tambahan ke
pada
Dengan kemampuan untuk menulis nilai tetap (0x1) pada alamat kernel arbitrer, kami terus mengubahnya menjadi kernel penuh Read/Write arbitrer. Karena kerentanan ini memengaruhi versi terbaru Windows 11 (22H2), kami memilih untuk memanfaatkan kerusakan objek ring Windows I/O untuk membuat primitif kami. Yarden Shafir telah menulis sejumlah posting yang sangat baik pada ring I/O Windows dan juga mengembangkan dan mengungkapkan primitif yang kami memanfaatkan dalam rantai mengeksploitasi kami. Sejauh yang kami ketahui ini adalah contoh pertama di mana primitif ini telah digunakan dalam mengeksploitasi publik.
Ketika I/O Ring diinisialisasi oleh pengguna, dua struktur terpisah dibuat, satu di ruang pengguna dan satu di ruang kernel. Struktur-struktur tersebut ditunjukkan di bawah ini.
Objek kernel dipetakan ke
Gambar 19 — inisialisasi nt!_IORING_OBJECT
Perhatikan bahwa objek kernel memiliki dua bidang,
Di sisi ruang pengguna, ketika memanggil kernelbase!CreateIoRing Anda akan mendapatkan kembali pegangan I/O Ring pada saat sukses. Pegangan ini adalah penunjuk ke struktur yang tidak terdokumentasi (HIORING). Definisi kami tentang struktur ini diperoleh dari riset yang dilakukan oleh Yarden Shafir.
typedef struct _HIORING {
HANDLE handle;
NT_IORING_INFO Info;
ULONG IoRingKernelAcceptedVersion;
PVOID RegBufferArray;
ULONG BufferArraySize;
PVOID Tidak Diketahui;
ULONG FileHandlesCount;
ULONG SubQueueHead;
ULONG SubQueueTail;
};
Jika kerentanan, seperti yang dibahas dalam postingan blog ini, memungkinkan Anda untuk memperbarui
Seperti yang kita lihat di atas, kita dapat menggunakan kerentanan untuk menulis 0x1 di alamat kernel mana pun yang kita suka. Untuk mengatur primitif cincin I/O, kita cukup memicu kerentanan dua kali.
Pada pemicu pertama kami mengatur
Gambar 20 — nt! _IORING_OBJECT pertama kali memicu bug
Dan pada pemicu kedua kami mengatur RegBuffers ke alamat yang dapat kami alokasikan di ruang pengguna (seperti 0x0000000100000000).
Gambar 21 — nt! _IORING_OBJECT kedua kalinya memicu bug
Yang tersisa hanyalah mengantri operasi I/O dengan menulis pointer ke forged
Gambar 22 — Menyiapkan ruang pengguna untuk I/O Ring kernel R/W primitif
Salah satunya
Gambar 23 — Contoh operasi I/O Ring palsu
Untuk melakukan arbitrary write, sebuah operasi I/O ditugaskan untuk membaca data dari file handle dan menuliskan data tersebut ke sebuah alamat Kernel.
Gambar 24 — Penulisan arbitrer I/O Ring
Sebaliknya, untuk melakukan pembacaan sewenang-wenang, operasi I/O ditugaskan untuk membaca data pada alamat kernel dan menulis data itu ke pegangan file.
Gambar 25 — Pembacaan arbitrer I/O Ring
Dengan pengaturan primitif, semua yang tersisa adalah menggunakan beberapa teknik pasca-eksploitasi kernel standar untuk membocorkan token dari proses yang ditinggikan seperti Sistem (PID 4) dan mengganti token dari proses yang berbeda.
Setelah rilis publik kodeexploit kami, Xiaoliang Liu (@flame36987044) dari 360 Icesword Lab mengungkapkan secara publik untuk pertama kalinya, bahwa mereka menemukan sampel yang mengeksploitasi kerentanan ini di alam liar (ITW) awal tahun ini. Teknik yang digunakan oleh sampel ITW berbeda dari kami. Penyerang memicu kerentanan menggunakan fungsi API Winsock yang sesuai,
, alih-alih memanggil ke dalam
driver secara langsung, seperti dalam mengeksploitasi kami.
Pernyataan resmi dari 360 Icesword Lab adalah sebagai berikut:
“360 IceSword Lab berfokus pada deteksi dan pertahanan APT. Berdasarkan sistem radar kerentanan 0day kami, kami menemukan sampel mengeksploitasi CVE-2023-21768 di alam liar pada bulan Januari tahun ini, yang berbeda dari eksploitasi yang diumumkan oleh @chompie1337 dan @FuzzySec karena dieksploitasi melalui mekanisme sistem dan kerentanan fitur. Eksploitasi tersebut terkait dengan
dan
,
mendapatkan jumlah kali
disebut, jadi kami menggunakan ini untuk mengubah jumlah hak istimewa.”
Anda mungkin memperhatikan bahwa di beberapa bagian dari rekayasa balik, analisis kami bersifat dangkal. Terkadang lebih membantu untuk hanya mengamati perubahan keadaan yang relevan dan memperlakukan sebagian program sebagai kotak hitam, agar tidak tersesat pada hal-hal yang tidak penting. Hal ini memungkinkan kami untuk menyelesaikan sebuah eksploit dengan cepat, meskipun mempercepat waktu penyelesaiannya bukanlah tujuan utama kami.
Selain itu, kami melakukan ulasan patch diffing terhadap semua kerentanan yang dilaporkan di
afd.sys
Kurangnya dukungan untuk Supervisor Mode Access Protection (SMAP) di kernel Windows memberi kita banyak pilihan untuk membangun primitif mengeksploitasi data saja yang baru. Primitif ini tidak layak di sistem operasi lain yang mendukung SMAP. Sebagai contoh, pertimbangkan CVE-2021-41073, sebuah kerentanan dalam implementasi I/O Ring buffer yang sudah didaftarkan sebelumnya pada Linux, (fitur yang sama yang kita gunakan pada Windows untuk primitif R/W). Kerentanan ini dapat memungkinkan penimpaan kernel pointer untuk sebuah registered buffer, namun tidak dapat digunakan untuk membangun primitif baca/tulis sewenang-wenang (arbitrary R/W primitive). Jika pointer diganti dengan pointer milik user dan kernel mencoba membaca atau menulis ke sana, sistem akan mengalami crash.
Terlepas dari upaya terbaik dari Microsoft untuk membunuh primitif yang dicintai dengan mengeksploitasi, pasti akan ada primitif baru yang akan ditemukan untuk menggantikannya. Kami dapat mengeksploitasi versi terbaru Windows 11 22H2 tanpa menghadapi mitigasi atau kendala apa pun dari fitur Keamanan Berbasis Virtualisasi seperti HVCI.