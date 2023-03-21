図4 — afd!Afd NotifyRemoveIoCompletionパッチ適用後

上記に示したこの変更は、特定された関数の唯一の更新です。迅速な分析によると、次に基づいてチェックが実行されています： PreviousMode 。もし PreviousMode がゼロである（呼び出しがカーネルから発生していることを示す）場合、未知の構造内のフィールドで指定されたポインターに値が書き込まれます。一方、もし PreviousMode 0でない場合、フィールドに設定されたポインタがユーザーモード内に存在する有効なアドレスであることを確認するためにProbeForWriteが呼び出されます。

このチェックは、パッチ前のバージョンのドライバーにはありません。この関数には、 PreviousMode の特定のスイッチ・ステートメントがあるため、開発者はこのチェックを追加するつもりだったが、忘れてしまったことが前提となっています（私たちだってコーヒー☕を忘れることがありますよね）。

この更新から、攻撃者がどの時点でこのコード・パスに到達できるか、 field_0x18 未知の構造の。攻撃者がこのフィールドにカーネル・アドレスを入力できる場合、任意のカーネルWrite-Whereプリミティブを作成できます。この時点では、どのような値が書き込まれているかは明確ではありませんが、どのような値もローカル特権エスカレーション・プリミティブに使用される可能性があります。