「パッチ・チューズデー、エクスプロイトの水曜日」とは、毎月のセキュリティー・パッチが公開された翌日の脆弱性の武器化を指す、古いハッカーの格言です。セキュリティーが向上し、エクスプロイトがより洗練されるにつれて、武器化されたエクスプロイトに必要な研究開発の量が増加しています。これは、メモリー破損の脆弱性に特に関連します。
図1 — エクスプロイテーションのタイムライン
しかし、Windows 11カーネルの主要な機能（およびメモリーの安全でないCコード）の追加により、絶好の攻撃対象領域が導入される可能性があります。この新たに導入されたコードに焦点を当てることで、軽微な武器化につながる脆弱性が依然として頻繁に発生していることを示しています。このブログ投稿では、Windows 11上のローカル特権エスカレーション（LPE）用のWindows Ancilary Function Driver for Winsock、afd.sysの脆弱性を分析し、悪用します。私たちの誰も、このカーネル・モジュールを以前に使用したエクスペリエンスはありませんでしたが、約1日で脆弱性を診断し、再現し、武器化することができました。エクスプロイト・コードはこちらからご覧ください。
Microsoft Security Response Center（MSRC）が公開したCVE-2023-21768の詳細に基づき、この脆弱性はAncillary Function要因内に存在し、そのバイナリファイル名はafd.sysです。AFDモジュールはWinsock APIのカーネルエントリーポイントです。この情報を使用して、2022年12月の要因のバージョンを分析し、2023年1月に新たにリリースされたバージョンと比較しました。これらのサンプルは、Microsoftパッチから変更を抽出する手間のかかる作業を省くことなく、Winbindexから個別に取得できます。分析された2つのバージョンを以下に示します。
Ghidraはこれら両方のファイルのバイナリエクスポートを作成し、BinDiffで比較できるようにしました。 一致した機能の概要を以下に示します。
図2 — AFD.sysのバイナリー比較
変更された機能は1つだけ、
パッチ適用前
図3 — afd!Afd NotifyRemoveIoCompletionのプリパッチ
パッチ後、afd.sysバージョン10.0.22621.1105。
図4 — afd!Afd NotifyRemoveIoCompletionパッチ適用後
上記に示したこの変更は、特定された関数の唯一の更新です。迅速な分析によると、次に基づいてチェックが実行されています：
がゼロである（呼び出しがカーネルから発生していることを示す）場合、未知の構造内のフィールドで指定されたポインターに値が書き込まれます。一方、もし
0でない場合、フィールドに設定されたポインタがユーザーモード内に存在する有効なアドレスであることを確認するためにProbeForWriteが呼び出されます。
このチェックは、パッチ前のバージョンのドライバーにはありません。この関数には、
の特定のスイッチ・ステートメントがあるため、開発者はこのチェックを追加するつもりだったが、忘れてしまったことが前提となっています（私たちだってコーヒー☕を忘れることがありますよね）。
この更新から、攻撃者がどの時点でこのコード・パスに到達できるか、
field_0x18
関数プロトタイプ自体には、
値と未知の構造へのポインターの両方が、それぞれ1つ目と3つ目の引き数として含まれています。
図5 — afd!Afd NotifyRemoveIoCompletion関数プロトタイプ
これで脆弱性の場所は把握できましたが、脆弱なコード・パスの実行をトリガーする方法については把握できませんでした。概念実証（PoC）に着手する前に、リバース・エンジニアリングを行います。
まず、この脆弱な機能は相互参照され、その使用場所と方法が把握されました。
図6 — afd!Afd NotifyRemoveIoCompletionの相互参照
脆弱な関数への1回の呼び出しは、
このプロセスを繰り返し、相互参照を探します。
図7 — afd!AfdIrpCallDispatch
このテーブルには、AFD要因のディスパッチ・ルーチンが含まれています。ディスパッチ・ルーチンは、DeviceIoControlを呼び出すことによって、Win32アプリケーションからの要求を処理するために使用されます。各機能の制御コードは見つかります
しかしながら、上記のポインタは
図8 - afd!AfdIoctlTable
これが表内の最後の入力/アウトプット制御（IOCTL）コードであり、AfdNotifySockが最近AFD要因に追加された新しいディスパッチ機能である可能性があることを示していることに注意してください。
この時点で、私たちにはいくつかの選択肢がありました。対応するWinsock APIをユーザー空間でリバース・エンジニアリングして、基礎となるカーネル関数がどのように呼び出されたかをよりよく理解するか、カーネル・コードをリバース・エンジニアリングして直接呼び出すことができます。Winsock関数がどのWinsock関数に対応するのかは、実際にはわからなかったため
x86matthewが公開したコードを見つけましたが、これはWinsockライブラリーを使わず、AFDドライバーに直接呼び出すことでソケット操作を行うものでした。これはステルスの観点からは興味深いものですが、私たちの目的にとっては、AFD要因にIOCTL要求を行うためのTCPソケットへのハンドルを作成するのに適したテンプレートです。カーネル・デバッグ中にWinDbgで設定したブレークポイントに到達したことからもわかるように、そこから目的の関数に到達することができました。
図9 — afd!Afd NotifySockブレークポイント
ここでは関数プロトタイプを
この時点では、LPInBufferというデータを格納する方法がわかりません。
それぞれの確認事項を確認していきましょう。
私たちが最初に遭遇する最初の確認は
図10 — afd!Afd NotifySockのサイズチェック
このチェックを確認するとレポートのサイズが
次のチェックでは、構造内のさまざまなフィールドの値を検証します。
図11 — afd!Afd NotifySock構造の検証
当時はこれらのフィールドが何に対応しているのか分からなかったため
次に遭遇するチェックは、ObReferenceObjectByHandleへの呼び出しの後に行われます。この関数は、インプット構造の最初のフィールドを最初の引数として受け取ります。
図12 — afd!Afd NotifySockのnt!Ob ReferenceObjectByHandling呼び出し
正しいコード実行パスに進むには、呼び出し成功を返す必要があります。つまり、有効なハンドルを次に渡す必要があります
その後、カウンターが私たちの構造からの値の一つであるループに到達します。
図13 — afd!Afd NotifySockループ
このループでは、構造のフィールドをチェックして、有効なユーザー・モード・ポインターが含まれていることを確認し、データをそこにコピーしました。ポインターは、ループを繰り返すたびにインクリメンタルが行われます。ポインターに有効なアドレスを入力し、カウンターを1に設定しました。ここから、最終的に脆弱な関数に到達することができました。
図14 — afd!Afd NotifyRemoveIoCompletionコール
信頼できるデータを活用して
図15 — afd! Afd!AfdNotifyRemoveIoCompletionフィールドチェック
最後に、ターゲット・コードに到達する前に通過すべき最後の確認は、
0を返す必要があります（
）。
この関数は、次のいずれかをブロックします。
パラメータに利用できるようになる
IoCompletionObject
私たちは構造を通じてタイムアウト値を管理しますが、タイムアウト値を0に設定するだけでは、関数が成功を返すには十分ではありません。この関数がエラーなく戻るには、少なくとも1つの完了レコードが必要です。いくつかの研究の結果、ドキュメント化されていない関数NtSetIoCompletionを発見しました。これは、
のI/Oペンディングカウンタを手動で加算するものです。最初に作成した
上でこの関数を呼び出すことにより、
への呼び出しは
を返却します。
図16 — afd!Afd NotifyRemoveIoCompletionチェックの戻り値nt!IoRemoveIoCompletion
脆弱なコードに到達できるようになったので、構造内の適切なフィールドに、書き込む任意のアドレスを入力できます。アドレスに書き込む値は整数から取得され、そのポインターは呼び出しに渡され、
図17 — nt!KeRemoveQueueExの戻り値
図18 — nt!KeRemoveQueueExの戻り値の使用
私たちの概念実証では、この書き込み値は常に次に等しくなります：
。
の返却値がキューから削除されたアイテムの数ですが、それ以上は調査していません。この時点で、私たちは必要なプリミティブを手に入れ、エクスプロイト・チェーンを完成させる作業に進みました。後で、この推測が正しいこと、および書き込み値は、
上のを返却します。
任意のカーネル・アドレスに固定値（0x1）を書き込むことができるため、これを完全な任意カーネルの読み取り/書き込みに変えることができました。この脆弱性はWindows 11（22H2）の最新バージョンに影響するため、Windows I/O リング・オブジェクトの破損を利用してプリミティブを作成することにしました。Yarden Shafir氏はWindows I/Oリングに関する優れた記事を多数執筆しており、私たちがエクスプロイトチェーンで活用したプリミティブも開発・公開しています。私たちが認識している限り、これは、このプリミティブが公共のエクスプロイトで使用された最初の例です。
I/Oリングがユーザーによって初期化されると、2つの異なる構造が作成されます。1つはユーザー空間、もう1つはカーネル空間に作成されます。その構造を以下に示します。
カーネル・オブジェクトは次にマッピングされ
図19 — nt!_IOring_OBJECTの初期化
カーネル・オブジェクトには2つのフィールドがあり、
ユーザースペース面で、kernelbase!CreateIoRingを呼び出すと、成功時にI/O Ringの権限が返ってきます。このハンドルは、文書化されていない構造（HIORING）へのポインターです。この構造の定義は、Yarden Shafir氏が行った研究から得られました。
typedef struct _HIORING {
HANDLE handle;
NT_IORING_INFO Info;
ULONG IoRingKernelAcceptedVersion;
PVOID RegBufferArray;
ULONG BufferArraySize;
PVOID Unknown;
ULONG FileHandlesCount;
ULONG SubQueueHead;
ULONG SubQueueTail;
};
このブログ記事で取り上げているような脆弱性によって
上記で見たように、脆弱性を利用して、希望するカーネル・アドレスで0x1を書き込むことができます。I/Oリング・プリミティブを設定するには、脆弱性を2回トリガーするだけで済みます。
最初のトリガーで設定したのは
図20 — nt!_IOring_OBJECTが初めてバグをトリガーした時
2つ目のトリガーでは、RegBuffersをユーザー空間（0x000000010000000など）に割り当てることができるアドレスに設定します。
図21 — nt!_IOring_OBJECTの2回目のバグのトリガー
残るは、I/O操作をキューイングするために、ユーザー空間アドレスに
図22 — I/Oリング・カーネルR/Wプリミティブのユーザー空間のセットアップ
そのようなものの1つは
図23 — 偽のI/Oリング操作の例
任意の書き込みを実行するには、ファイル・ハンドルからデータを読み取り、そのデータをカーネル・アドレスに書き込むI/O操作がタスクされます。
図24 — I/Oリング任意書き込み
逆に、任意の読み取りを実行するには、カーネル・アドレスのデータを読み取り、そのデータをファイル・ハンドルに書き込むI/Oオペレーションがタスクされます。
図25 – I/Oリング任意読み取り
初期的なセットアップでは、残りの要素は、標準的なカーネル・エクスプロイテーション後技術を使用して、システム（PID 4）のような高度なプロセスのトークンを漏洩し、別のプロセスのトークンを上書きすることだけです。
当社のエクスプロイト コードの公開後、360 Icesword LabのXiaoliang Liu（@flame36987044）が今年初めに、この脆弱性を悪用したサンプルを外部で初めて発見したと公に発表しました。ITWのサンプルで利用された手法は、当社のものとは異なるものでした。攻撃者は対応するWinsock API関数
を、私たちのエクスプロイトと同様に、
ドライバーを直接呼び出す代わりに使用して脆弱性をトリガーします。
360 Icesword Labの公式声明は以下の通りです。
「360 IceSword Labは、APTの検知と防御に重点を置いています。当社の0day脆弱性レーダー・システムに基づいて、私たちは、今年1月に社外のCVE-2023-21768のエクスプロイト・サンプルを発見しました。これは、@chompie1337と@FuzzySecが発表したエクスプロイトとは異なり、システム・メカニズムと脆弱性の機能を介して悪用されています。エクスプロイトは
や
に関連しており、
は、
リバース・エンジニアリングの一部の部分では、分析が表面的なものであることに気づくかもしれません。時として、関連する状態の変化のみを観察し、プログラムの一部をブラックボックスとして扱うことで、無関係な収益源に引きずり込まれないようにすることが有益な場合があります。これにより、完了速度を最大化することが私たちの目標ではなかったにもかかわらず、エクスプロイトを迅速に回避することができました。
さらに、報告されたすべての脆弱性についてパッチ・ディフィング・レビューを実施し
afd.sys
Windowsカーネルでスーパーバイザーモードアクセス保護（SMAP）のサポートがないため、新たなデータのみのエクスプロイトを構築する選択肢が豊富にあります。これらのプリミティブは、SMAPをサポートする他のオペレーティング・システムでは実現できません。例えば、CVE-2021-41073という脆弱性を検討します。これはLinuxにおけるI/Oリング事前登録バッファの実装上の問題です（Windowsで読み書きプリミティブを悪用する際に利用したのと同じ機能です）。この脆弱性により、登録済みバッファーのカーネル・ポインターを上書きすることができますが、任意のR/Wプリミティブの構築には使用できません。クラッシュしました。
Microsoftが愛されるエクスプロイトプリミティブを排除しようと最善を尽くしているにもかかわらず、その代わりに新たなプリミティブが発見されるのは避けられません。我々は、HVCIなどの仮想化ベースのセキュリティー機能による主要な機能や制約に遭遇することなく、最新バージョンのWindows 11 22H2をエクスプロイトすることができました。