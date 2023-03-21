セキュリティー

パッチ・火曜日 → エクスプロイト・水曜日：24時間でWinSock（afd.sys）用のWindows付属のドライバーを買収

プライバシーのオフィスと責任あるテクノロジー・リードスペースのプライバシー・シールドを示すイラスト

共同執筆者

Valentina Palmiotti

Head of X-Force Offensive Research (XOR)

IBM

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

「パッチ・チューズデー、エクスプロイトの水曜日」とは、毎月のセキュリティー・パッチが公開された翌日の脆弱性の武器化を指す、古いハッカーの格言です。セキュリティーが向上し、エクスプロイトがより洗練されるにつれて、武器化されたエクスプロイトに必要な研究開発の量が増加しています。これは、メモリー破損の脆弱性に特に関連します。

ブログ記事用に作成された製品の画面

図1 — エクスプロイテーションのタイムライン

しかし、Windows 11カーネルの主要な機能（およびメモリーの安全でないCコード）の追加により、絶好の攻撃対象領域が導入される可能性があります。この新たに導入されたコードに焦点を当てることで、軽微な武器化につながる脆弱性が依然として頻繁に発生していることを示しています。このブログ投稿では、Windows 11上のローカル特権エスカレーション（LPE）用のWindows Ancilary Function Driver for Winsock、afd.sysの脆弱性を分析し、悪用します。私たちの誰も、このカーネル・モジュールを以前に使用したエクスペリエンスはありませんでしたが、約1日で脆弱性を診断し、再現し、武器化することができました。エクスプロイト・コードはこちらからご覧ください。

パッチの適用範囲と根本原因分析

Microsoft Security Response Center（MSRC）が公開したCVE-2023-21768の詳細に基づき、この脆弱性はAncillary Function要因内に存在し、そのバイナリファイル名はafd.sysです。AFDモジュールはWinsock APIのカーネルエントリーポイントです。この情報を使用して、2022年12月の要因のバージョンを分析し、2023年1月に新たにリリースされたバージョンと比較しました。これらのサンプルは、Microsoftパッチから変更を抽出する手間のかかる作業を省くことなく、Winbindexから個別に取得できます。分析された2つのバージョンを以下に示します。

  • AFD.sys / Windows 11 22H2 / 10.0.22621.608（2022年12月）
  • AFD.sys / Windows 11 22H2 / 10.0.22621.1105（2023年1月）

Ghidraはこれら両方のファイルのバイナリエクスポートを作成し、BinDiffで比較できるようにしました。 一致した機能の概要を以下に示します。

AFD.sysの2値比較の製品の画面

図2 — AFD.sysのバイナリー比較

変更された機能は1つだけ、afd!AfdNotifyRemoveIoCompletion 。これにより、脆弱性の分析が大幅にスピードアップされました。次に、両方の機能を比較しました。以下の製品の画面は、BinaryNinjaでデコンパイルされたコードを見たときの、パッチ前とパッチ後の変更されたコードを示しています。

パッチ適用前afd.sys version 10.0.22621.608 .

ブログ記事用に作成された製品の画面

図3 — afd!Afd NotifyRemoveIoCompletionのプリパッチ

パッチ後、afd.sysバージョン10.0.22621.1105。

ブログ記事用に作成された製品の画面

図4 — afd!Afd NotifyRemoveIoCompletionパッチ適用後

上記に示したこの変更は、特定された関数の唯一の更新です。迅速な分析によると、次に基づいてチェックが実行されています：PreviousMode 。もしPreviousMode がゼロである（呼び出しがカーネルから発生していることを示す）場合、未知の構造内のフィールドで指定されたポインターに値が書き込まれます。一方、もしPreviousMode 0でない場合、フィールドに設定されたポインタがユーザーモード内に存在する有効なアドレスであることを確認するためにProbeForWriteが呼び出されます。

このチェックは、パッチ前のバージョンのドライバーにはありません。この関数には、PreviousMode の特定のスイッチ・ステートメントがあるため、開発者はこのチェックを追加するつもりだったが、忘れてしまったことが前提となっています（私たちだってコーヒー☕を忘れることがありますよね）。

この更新から、攻撃者がどの時点でこのコード・パスに到達できるか、field_0x18 未知の構造の。攻撃者がこのフィールドにカーネル・アドレスを入力できる場合、任意のカーネルWrite-Whereプリミティブを作成できます。この時点では、どのような値が書き込まれているかは明確ではありませんが、どのような値もローカル特権エスカレーション・プリミティブに使用される可能性があります。

関数プロトタイプ自体には、PreviousMode 値と未知の構造へのポインターの両方が、それぞれ1つ目と3つ目の引き数として含まれています。

afd!Afd NotifyRemoveIoCompletion機能のプロトタイプを作成した製品の画面

図5 — afd!Afd NotifyRemoveIoCompletion関数プロトタイプ

リバース・エンジニアリング

これで脆弱性の場所は把握できましたが、脆弱なコード・パスの実行をトリガーする方法については把握できませんでした。概念実証（PoC）に着手する前に、リバース・エンジニアリングを行います。

まず、この脆弱な機能は相互参照され、その使用場所と方法が把握されました。

afd!Afd NotifyRemoveIoCompletionの相互参照の製品の画面

図6 — afd!Afd NotifyRemoveIoCompletionの相互参照

脆弱な関数への1回の呼び出しは、afd!AfdNotifySock .

このプロセスを繰り返し、相互参照を探します。AfdNotifySock 。関数への直接的な呼び出しは見つかりませんでしたが、そのアドレスは関数ポインタのテーブルの上部に表示されています AfdIrpCallDispatch .

afdのスクリーンショット!AfdIrpCallDispatch

図7 — afd!AfdIrpCallDispatch

このテーブルには、AFD要因のディスパッチ・ルーチンが含まれています。ディスパッチ・ルーチンは、DeviceIoControlを呼び出すことによって、Win32アプリケーションからの要求を処理するために使用されます。各機能の制御コードは見つかりますAfdIoctlTable .

しかしながら、上記のポインタはAfdIrpCallDispatch 、私たちが予想していたようにテーブル内には存在しません。Steven Vittitoeレコントークのスライドから、AFDには実は2つのディスパッチ・テーブルがあることがわかりました。2番目はAfdImmediateCallDispatch です。テーブルの先頭とポインターが移動する場所との距離を計算することでAfdNotifySock 保管されているインデックスを計算してAfdIoctlTable この例は関数の制御コードを示しています0x12127 .

afd!AfdIoctlTableのスクリーンショット

図8 - afd!AfdIoctlTable

これが表内の最後の入力/アウトプット制御（IOCTL）コードであり、AfdNotifySockが最近AFD要因に追加された新しいディスパッチ機能である可能性があることを示していることに注意してください。

この時点で、私たちにはいくつかの選択肢がありました。対応するWinsock APIをユーザー空間でリバース・エンジニアリングして、基礎となるカーネル関数がどのように呼び出されたかをよりよく理解するか、カーネル・コードをリバース・エンジニアリングして直接呼び出すことができます。Winsock関数がどのWinsock関数に対応するのかは、実際にはわからなかったためAfdNotifySock 、後者を選択しました。

x86matthewが公開したコードを見つけましたが、これはWinsockライブラリーを使わず、AFDドライバーに直接呼び出すことでソケット操作を行うものでした。これはステルスの観点からは興味深いものですが、私たちの目的にとっては、AFD要因にIOCTL要求を行うためのTCPソケットへのハンドルを作成するのに適したテンプレートです。カーネル・デバッグ中にWinDbgで設定したブレークポイントに到達したことからもわかるように、そこから目的の関数に到達することができました。

afd!Afd NotifySockブレークポイントの製品の画面

図9 — afd!Afd NotifySockブレークポイント

ここでは関数プロトタイプをDeviceIoControl ユーザー空間からAFD要因を呼び出しますパラメーターの1つ、lpInBuffer 、はユーザー・モード・バッファーです。前のセクションで述べたように、この脆弱性は、ユーザーが未知のデータ構造内にある未検証のポインターを要因に渡すことができるために発生します。この構造は、lpInBufferパラメーターを介してユーザー・モード・アプリケーションから直接渡されます。これはAfdNotifySock に4番目のパラメーターとして渡され、AfdNotifyRemoveIoCompletion に3番目のパラメーターとして渡されます。

この時点では、LPInBufferというデータを格納する方法がわかりません。AFD_NOTIFYSOCK_STRUCT 脆弱なコードパスに到達するために必要なチェックを通過するため、AfdNotifyRemoveIoCompletion 。リバース・エンジニアリング・プロセスの残りの部分は、実行フローに従い、脆弱なコードに到達する方法を調査することで構成されていました。

それぞれの確認事項を確認していきましょう。

私たちが最初に遭遇する最初の確認はAfdNotifySock :

afd!Afd NotifySockサイズチェックの製品の画面

図10 — afd!Afd NotifySockのサイズチェック

このチェックを確認するとレポートのサイズがAFD_NOTIFYSOCK_STRUCT 次のものと等しくする必要があります0x30 バイト、そうでない場合、関数は失敗します。STATUS_INFO_LENGTH_MISMATCH .

次のチェックでは、構造内のさまざまなフィールドの値を検証します。

afd!Afd NotifySock構造の検証

図11 — afd!Afd NotifySock構造の検証

当時はこれらのフィールドが何に対応しているのか分からなかったため0x30 いっぱいのバイト配列0x41 バイト（AAAAAAAAA... ）を挿入します。

次に遭遇するチェックは、ObReferenceObjectByHandleへの呼び出しの後に行われます。この関数は、インプット構造の最初のフィールドを最初の引数として受け取ります。

ブログ記事用に作成された製品の画面

図12 — afd!Afd NotifySockのnt!Ob ReferenceObjectByHandling呼び出し

正しいコード実行パスに進むには、呼び出し成功を返す必要があります。つまり、有効なハンドルを次に渡す必要がありますIoCompletionObject 。Win32 APIを介してその種類のオブジェクトを作成する公式の文書化方法はありません。しかし、少し検索してみたところ、目的を達成できる、文書化されていないNT関数NtCreateIoCompletionを見つけました。

その後、カウンターが私たちの構造からの値の一つであるループに到達します。

afdNotifySockループで作成されたスクリーンショット

図13 — afd!Afd NotifySockループ

このループでは、構造のフィールドをチェックして、有効なユーザー・モード・ポインターが含まれていることを確認し、データをそこにコピーしました。ポインターは、ループを繰り返すたびにインクリメンタルが行われます。ポインターに有効なアドレスを入力し、カウンターを1に設定しました。ここから、最終的に脆弱な関数に到達することができました。AfdNotifyRemoveIoCompletion .

afd!Afd NotifyRemoveIoCompletionコールのスクリーンショット

図14 — afd!Afd NotifyRemoveIoCompletionコール

信頼できるデータを活用してAfdNotifyRemoveIoCompletion 最初に確認するのは構造内の別のフィールドですゼロでなければならなくなります。次に、0x20を掛けて、次の値に渡されます。ProbeForWrite ポインター・パラメーターとして構造内の別のフィールドも使用できますここから、構造に有効なユーザー・モード・ポインター（主なユーザー・モード・ポインター）を入力できます（pData2 ）およびフィールドdwLen = 1 （合計サイズがProbeForWrite 0x20に等しいため、チェックは合格します。

afd! afd!AfdNotifyRemoveIoCompletionフィールドのチェックに関して作成されたスクリーンショット

図15 — afd! Afd!AfdNotifyRemoveIoCompletionフィールドチェック

最後に、ターゲット・コードに到達する前に通過すべき最後の確認は、IoRemoveCompletion 0を返す必要があります（STATUS_SUCCESS ）。

この関数は、次のいずれかをブロックします。

  • 完了記録が、IoCompletionObject パラメータに利用できるようになる
  • タイムアウトの期限が切れ、関数のパラメーターとして渡されます

私たちは構造を通じてタイムアウト値を管理しますが、タイムアウト値を0に設定するだけでは、関数が成功を返すには十分ではありません。この関数がエラーなく戻るには、少なくとも1つの完了レコードが必要です。いくつかの研究の結果、ドキュメント化されていない関数NtSetIoCompletionを発見しました。これは、IoCompletionObject のI/Oペンディングカウンタを手動で加算するものです。最初に作成したIoCompletionObject 上でこの関数を呼び出すことにより、IoRemoveCompletion への呼び出しはSTATUS_SUCCESS を返却します。

ブログ記事用に作成された製品の画面

図16 — afd!Afd NotifyRemoveIoCompletionチェックの戻り値nt!IoRemoveIoCompletion

任意の書き込み場所のトリガー

脆弱なコードに到達できるようになったので、構造内の適切なフィールドに、書き込む任意のアドレスを入力できます。アドレスに書き込む値は整数から取得され、そのポインターは呼び出しに渡され、IoRemoveIoCompletionIoRemoveIoCompletion この整数の値を、呼び出しの戻り値に設定しますKeRemoveQueueEx .

ブログ記事用に作成された製品の画面

図17 — nt!KeRemoveQueueExの戻り値

ブログ記事用に作成された製品の画面

図18 — nt!KeRemoveQueueExの戻り値の使用

私たちの概念実証では、この書き込み値は常に次に等しくなります：0x1 KeRemoveQueueEx の返却値がキューから削除されたアイテムの数ですが、それ以上は調査していません。この時点で、私たちは必要なプリミティブを手に入れ、エクスプロイト・チェーンを完成させる作業に進みました。後で、この推測が正しいこと、および書き込み値は、NtSetIoCompletion 上のIoCompletionObject を返却します。

LPE with IORING

任意のカーネル・アドレスに固定値（0x1）を書き込むことができるため、これを完全な任意カーネルの読み取り/書き込みに変えることができました。この脆弱性はWindows 11（22H2）の最新バージョンに影響するため、Windows I/O リング・オブジェクトの破損を利用してプリミティブを作成することにしました。Yarden Shafir氏はWindows I/Oリングに関する優れた記事を多数執筆しており、私たちがエクスプロイトチェーンで活用したプリミティブも開発・公開しています。私たちが認識している限り、これは、このプリミティブが公共のエクスプロイトで使用された最初の例です。

I/Oリングがユーザーによって初期化されると、2つの異なる構造が作成されます。1つはユーザー空間、もう1つはカーネル空間に作成されます。その構造を以下に示します。

カーネル・オブジェクトは次にマッピングされnt!_IORING_OBJECT 以下に示されています。

ブログ記事用に作成された製品の画面

図19 — nt!_IOring_OBJECTの初期化

カーネル・オブジェクトには2つのフィールドがあり、RegBuffersCount およびRegBuffers これらは初期化をゼロにしています。カウントは、I/OオペレーションがI/Oリングのためにキューに入れられる可能性があることを示します。もう1つのパラメーターは、現在キューに入れられているオペレーションのリストへのポインターです。

ユーザースペース面で、kernelbase!CreateIoRingを呼び出すと、成功時にI/O Ringの権限が返ってきます。このハンドルは、文書化されていない構造（HIORING）へのポインターです。この構造の定義は、Yarden Shafir氏が行った研究から得られました。

typedef struct _HIORING {

    HANDLE handle;

    NT_IORING_INFO Info;

    ULONG IoRingKernelAcceptedVersion;

    PVOID RegBufferArray;

    ULONG BufferArraySize;

    PVOID Unknown;

    ULONG FileHandlesCount;

    ULONG SubQueueHead;

    ULONG SubQueueTail;

};

このブログ記事で取り上げているような脆弱性によってRegBuffersCount およびRegBuffers フィールドを更新することが可能となり、標準のI/O Ring APIを使用してカーネル・メモリーの読み書きを行うことが可能になります。

上記で見たように、脆弱性を利用して、希望するカーネル・アドレスで0x1を書き込むことができます。I/Oリング・プリミティブを設定するには、脆弱性を2回トリガーするだけで済みます。

最初のトリガーで設定したのはRegBufferCount から0x1 .

nt!_IOring_OBJECTが初めてバグをトリガーしたときの製品の画面

図20 — nt!_IOring_OBJECTが初めてバグをトリガーした時

2つ目のトリガーでは、RegBuffersをユーザー空間（0x000000010000000など）に割り当てることができるアドレスに設定します。

nt!_IOring_OBJECTの2回目のバグ・トリガーのスクリーンショット

図21 — nt!_IOring_OBJECTの2回目のバグのトリガー

残るは、I/O操作をキューイングするために、ユーザー空間アドレスにnt!_IOP_MC_BUFFER_ENTRY 偽造構造体へのポインタを書き込むことでことです（0x100000000 ）。エントリー数は以下と等しくする必要がありますRegBuffersCount 。このプロセスは、以下の図で強調されています。

ブログ記事用に作成された図

図22 — I/Oリング・カーネルR/Wプリミティブのユーザー空間のセットアップ

そのようなものの1つはnt!_IOP_MC_BUFFER_ENTRY 以下のスクリーンショットをご覧ください。オペレーションの宛先はカーネル・アドレス（0xfffff8052831da20 ）であること、また今回の操作のサイズが0x8 バイトであることにご留意ください。その構造から、これが読み取り操作であるか書き込み操作であるかを判断することはできません。操作の方向は、I/O要求をキューに入れるために使用されたAPIによって異なります。kernelbaseを使っています!BuildIoRingReadFileは任意のカーネル書き込みを生み、 kernelbase!BuildIoRingWriteFile 結果として任意のカーネル・リードになります。

ブログ記事用に作成された製品の画面

図23 — 偽のI/Oリング操作の例

任意の書き込みを実行するには、ファイル・ハンドルからデータを読み取り、そのデータをカーネル・アドレスに書き込むI/O操作がタスクされます。

ブログ記事用に作成された図

図24 — I/Oリング任意書き込み

逆に、任意の読み取りを実行するには、カーネル・アドレスのデータを読み取り、そのデータをファイル・ハンドルに書き込むI/Oオペレーションがタスクされます。

I/Oリング任意読み取りの図

図25 – I/Oリング任意読み取り

デモ

初期的なセットアップでは、残りの要素は、標準的なカーネル・エクスプロイテーション後技術を使用して、システム（PID 4）のような高度なプロセスのトークンを漏洩し、別のプロセスのトークンを上書きすることだけです。

野生でのエクスプロイテーション

当社のエクスプロイト コードの公開後、360 Icesword LabのXiaoliang Liu（@flame36987044）が今年初めに、この脆弱性を悪用したサンプルを外部で初めて発見したと公に発表しました。ITWのサンプルで利用された手法は、当社のものとは異なるものでした。攻撃者は対応するWinsock API関数ProcessSocketNotifications を、私たちのエクスプロイトと同様に、afd.sys ドライバーを直接呼び出す代わりに使用して脆弱性をトリガーします。

360 Icesword Labの公式声明は以下の通りです。

「360 IceSword Labは、APTの検知と防御に重点を置いています。当社の0day脆弱性レーダー・システムに基づいて、私たちは、今年1月に社外のCVE-2023-21768のエクスプロイト・サンプルを発見しました。これは、@chompie1337@FuzzySecが発表したエクスプロイトとは異なり、システム・メカニズムと脆弱性の機能を介して悪用されています。エクスプロイトはNtSetIoCompletion ProcessSocketNotifications に関連しており、ProcessSocketNotifications は、NtSetIoCompletion が呼び出され、これを使用して特権数を変更します。」

結論と最終的な考察

リバース・エンジニアリングの一部の部分では、分析が表面的なものであることに気づくかもしれません。時として、関連する状態の変化のみを観察し、プログラムの一部をブラックボックスとして扱うことで、無関係な収益源に引きずり込まれないようにすることが有益な場合があります。これにより、完了速度を最大化することが私たちの目標ではなかったにもかかわらず、エクスプロイトを迅速に回避することができました。

さらに、報告されたすべての脆弱性についてパッチ・ディフィング・レビューを実施しafd.sys 「エクスプロイテーションの可能性が高い」と示されています。私たちのレビューでは、2つの脆弱性を除くすべての脆弱性が、ユーザー・モードから渡されたポインターの不適切な検証の結果であることが明らかになりました。これは、特に特定のターゲット内の脆弱性に関する過去の知識を持つことが、新しい脆弱性の発見につながることを示しています。コード・ベースが拡張されると、同じ間違いが繰り返される可能性があります。新しいCコード==新しいバグであることを忘れないでください。前述の脆弱性が実際に悪用されていることが発見されたことからも明らかなように、攻撃者は新たなコード・ベースの追加も注意深く監視していると言えます。

Windowsカーネルでスーパーバイザーモードアクセス保護（SMAP）のサポートがないため、新たなデータのみのエクスプロイトを構築する選択肢が豊富にあります。これらのプリミティブは、SMAPをサポートする他のオペレーティング・システムでは実現できません。例えば、CVE-2021-41073という脆弱性を検討します。これはLinuxにおけるI/Oリング事前登録バッファの実装上の問題です（Windowsで読み書きプリミティブを悪用する際に利用したのと同じ機能です）。この脆弱性により、登録済みバッファーのカーネル・ポインターを上書きすることができますが、任意のR/Wプリミティブの構築には使用できません。クラッシュしました。

Microsoftが愛されるエクスプロイトプリミティブを排除しようと最善を尽くしているにもかかわらず、その代わりに新たなプリミティブが発見されるのは避けられません。我々は、HVCIなどの仮想化ベースのセキュリティー機能による主要な機能や制約に遭遇することなく、最新バージョンのWindows 11 22H2をエクスプロイトすることができました。

