'화요일 패치, 수요일 악용'은 매달 보안 패치가 공개되는 다음 날 취약점이 무기화되는 것을 가리키는 오래된 해커들의 격언입니다. 보안이 개선되고 공격 완화 방법이 더욱 정교해짐에 따라 무기화된 악용을 만드는 데 필요한 연구와 개발의 양이 증가했습니다. 이는 특히 메모리 손상 취약성과 관련이 있습니다.
그림 1 - 악용 타임라인
그러나 Windows 11 커널에 새로운 기능(및 메모리 안전하지 않은 C 코드)이 추가됨에 따라 새로운 공격 표면이 도입될 수 있습니다. 이 새로 도입된 코드를 집중적으로 살펴봄으로써 사소하게 무기화될 수 있는 취약점이 여전히 자주 발생한다는 것을 보여줍니다. 이 블로그 게시물에서는 Windows 11의 로컬 권한 상승(LPE)을 위한 Winsock용 Windows 보조 기능 드라이버인 afd.sys의 취약점을 분석하고 악용하는 방법을 설명합니다. 저희 둘 다 이 커널 모듈에 대한 경험이 전혀 없었지만, 약 하루 만에 취약점을 진단하고, 재현하고, 무기화할 수 있었습니다. 악용 코드는 여기에서 확인할 수 있습니다.
Microsoft Security Response Center(MSRC)가 발표한 CVE-2023-21768 세부 사항에 따르면, 이 취약점은 이진 파일명이 afd.sys인 보조 기능 드라이버(AFD) 내에 존재합니다. AFD 모듈은 Winsock API의 커널 진입점입니다. 이 정보를 사용하여 2022년 12월의 드라이버 버전을 분석하고 2023년 1월에 새로 출시된 버전과 비교했습니다. 이러한 샘플은 Microsoft 패치에서 변경 사항을 추출하는 시간이 많이 소요되는 프로세스 없이 Winbindex에서 개별적으로 얻을 수 있습니다. 분석된 두 가지 버전은 아래와 같습니다.
Ghhidra는 이 두 파일의 바이너리 내보내기를 생성하여 BinDiff에서 비교할 수 있도록 했습니다. 일치하는 기능에 대한 개요는 아래와 같습니다.
그림 2 - AFD.sys 바이너리 비교
단 하나의 기능만 변경된 것으로 보입니다.
패치 전,
그림 3 - afd!AfdNotifyRemoveIoCompletion 사전 패치
패치 후, afd.sys 버전 10.0.22621.1105.
그림 4 - 패치 후 afd!AfdNotifyRemoveIoCompletion
위에 표시된 이 변경 사항은 식별된 기능에 대한 유일한 업데이트입니다. 몇 가지 간단한 분석을 통해 다음을 기반으로 점검이 수행되고 있음을 알 수 있습니다.
값이 0이면(호출이 커널에서 시작됨을 나타냄) 알 수 없는 구조의 필드로 지정된 포인터에 값이 기록됩니다. 반면,
값이 0이 아닌 경우, 필드에 설정된 포인터가 사용자 모드 내에 있는 유효한 주소인지 확인하기 위해 ProbeForWrite가 호출됩니다.
패치 전 버전의 드라이버에서는 이 검사가 누락되었습니다. 이 함수에는 다음에 대한 특정 스위치 문이 있으므로
, 개발자가 이 검사를 추가하려고 했지만 잊어버렸다는 가정이 있습니다 (우리 모두는 때때로 커피가 부족할 때가 있습니다☕!).
이 업데이트를 통해 공격자가 미지의 구조의
field_0x18
함수 프로토타입 자체에는
값과 알 수 없는 구조에 대한 포인터가 포함되어 각각 첫 번째 및 세 번째 인수로 사용합니다.
그림 5 - afd!AfdNotifyRemoveIoCompletion 함수 프로토타입
이제 취약점의 위치는 알았지만 취약한 코드 경로의 실행을 트리거하는 방법은 알지 못합니다. 개념 증명(PoC) 작업을 시작하기 전에 리버스 엔지니어링을 수행해보겠습니다.
먼저 취약한 함수가 어디에서 어떻게 사용되는지 파악하기 위해 상호 참조했습니다.
그림 6 - afd!AfdNotifyRemoveIoCompletion 상호 참조
취약한 함수에 대한 단일 호출은 다음에서 이루어집니다.
이 과정을 반복하여 다음과 같은 상호 참조를 찾습니다.
그림 7 — afd!AfdIrpCallDispatch
이 테이블에는 AFD 드라이버의 디스패치 루틴이 포함되어 있습니다. 디스패치 루틴은 DeviceIoControl을 호출하여 Win32 애플리케이션의 요청을 처리하는 데 사용됩니다. 각 기능의 제어 코드는 다음에서 찾을 수 있습니다.
그러나 위의 포인터는 예상대로
그림 8 - afd!AfdIoctlTable
이 코드가 표의 마지막 입력/아웃풋 제어 (IOCTL) 코드라는 점에 주목할 필요가 있습니다. 이는 AfdNotifySock이 최근에 AFD 드라이버에 추가된 새로운 디스패치 함수일 가능성이 높다는 것을 나타냅니다.
이 시점에서 우리에게는 몇 가지 옵션이 있었습니다. 기본 커널 함수가 어떻게 호출되는지 더 잘 이해하기 위해 사용자 공간에서 해당 Winsock API를 리버스 엔지니어링하거나 커널 코드를 리버스 엔지니어링하고 직접 호출할 수 있습니다. 실제로 어떤 Winsock 함수가 다음에 해당하는지 알지 못했습니다.
x86matthew가 게시한 코드를 발견했는데, 이 코드는 Winsock 라이브러리를 생략하고 AFD 드라이버를 직접 호출하여 소켓 연산을 수행합니다. 이는 은폐 관점에서는 흥미롭지만, AFD 드라이버에 IOCTL 요청을 하기 위해 TCP 소켓에 대한 핸들을 만드는 것은 좋은 템플릿입니다. 커널 디버깅 중에 WinDbg에 설정된 중단점에 도달하여 목표 함수에 도달할 수 있었습니다.
그림 9 — afd!AfdNotifySock 중단점
이제 다음에 대한 함수 프로토타입을 다시 참조하세요.
현재로서는
이제 각 점검 사항을 살펴보겠습니다.
처음 접하는 첫 번째 점검은 다음의 시작 부분에 있습니다.
그림 10 — afd!AfdNotifySock 크기 확인
이 확인은 다음의 크기를 알려줍니다.
다음 검사에서는 구조의 다양한 필드에 있는 값의 검증합니다.
그림 11 — afd!AfdNotifySock 구조 유효성 검사
당시 어떤 필드가 무엇에 해당하는지 몰랐기 때문에
다음 확인은 ObReferenceObjectByHandle 호출 이후입니다. 이 함수는 입력 구조의 첫 번째 필드를 첫 번째 인수로 받습니다.
그림 12 — afd!AfdNotifySock 호출 nt!ObReferenceObjectByHandle
호출은 올바른 코드 실행 경로로 진행하려면 성공을 반환해야 하며, 이는 유효한 핸들을
그 후, 카운터가 구조체의 값 중 하나인 루프에 도달합니다.
그림 13 — afd!AfdNotifySock 루프
이 루프는 구조체에서 필드를 검사하여 필드에 유효한 사용자 모드 포인터가 포함되어 있는지 Verify하고 여기에 데이터를 복사했습니다. 루프가 반복될 때마다 포인터가 증가합니다. 우리는 포인터에 유효한 주소를 채우고 카운터를 1로 설정했습니다. 여기에서 마침내 취약한 함수에 도달할 수 있었습니다.
그림 14 - afd!AfdNotifyRemoveIoCompletion 호출
안으로 들어가면
그림 15 - afd! Afd!AfdNotifyRemoveIoCompletion 필드 확인
마지막으로, 대상 코드에 도달하기 전에 통과해야 하는 마지막 검사는
에 대한 호출이며, 0을 반환해야 합니다(
).
이 함수는 다음 중 하나가 될 때까지 차단됩니다.
매개변수에 대해 사용할 수 있게 됩니다.
IoCompletionObject
구조체를 통해 timeout 값을 제어하지만 단순히 timeout을 0으로 설정하는 것만으로는 함수가 성공을 반환하기에 충분하지 않습니다. 이 함수가 오류 없이 반환하려면 사용 가능한 완료 레코드가 하나 이상 있어야 합니다. 조사 끝에 문서화되지 않은 함수 NtSetIoCompletion을 발견했습니다. 이 함수는 I/O 보류 카운터(pending counter)를
에서 수동으로 증가시킵니다. 앞서 생성한
에서 이 함수를 호출하면
호출이
을(를) 반환하도록 보장할 수 있습니다.
그림 16 - afd!AfdNotifyRemoveIoCompletion 검사 반환 nt!IoRemoveIoCompletion
이제 취약한 코드에 접근할 수 있으므로 구조의 해당 필드에 쓸 임의의 주소를 채울 수 있습니다. 주소에 기록되는 값은, 해당 주소에 대한 포인터가
그림 17 - nt!KeRemoveQueueEx 반환 값
그림 18 - nt!KeRemoveQueueEx 반환 사용
개념 증명에서 이 쓰기 값은 항상
와(과) 같습니다.
의 반환값이 대기열에서 제거된 항목의 개수일 것이라고 추측했지만, 그 이상으로는 조사하지 않았습니다. 이 시점에서 필요한 프리미티브를 확보했고 악용 체인을 완성하는 단계로 넘어갔습니다. 이후 이 추측이 정확했다는 것을 확인했습니다. 그리고 다음에 대해
을(를) 추가로 호출하면, 기록되는 값을 임의로 증가시킬 수 있습니다.
을(를) 반환하도록 보장할 수 있습니다.
임의의 커널 주소에 고정된 값(0x1)을 쓸 수 있는 기능을 통해 이를 완전한 임의의 커널 읽기/쓰기로 전환했습니다. 이 취약점이 최신 Windows 11(22H2)에 영향을 미치기 때문에, 우리는 Windows I/O 링 객체 손상을 활용해 원시 장치를 만들기로 했습니다. Yarden Shafir는 Windows I/O 링에 관한 훌륭한 글을 여러 차례 썼으며, 우리가 악용 체인에서 활용한 원시 요소도 개발하고 공개했습니다. 저희가 아는 한, 이런 원시적인 방법이 공개적으로 악용된 것은 이번이 처음입니다.
사용자가 I/O 링을 초기화하면 사용자 공간과 커널 공간에 각각 하나씩 두 개의 별도 구조가 생성됩니다. 이러한 구조는 다음과 같습니다.
커널 객체는
그림 19 — nt!_IORING_OBJECT 초기화
커널 객체에는 두 개의 필드(
사용자 공간 측에서, kernelbase!CreateIoRing을 호출하면 성공 시 I/O 링 핸들을 반환합니다. 이 핸들은 문서화되지 않은 구조(HIORING)에 대한 포인터입니다. 이 구조에 대한 정의는 Yarden Shafir의 연구에서 얻은 것입니다.
typedef struct _HIORING {
HANDLE handle;
NT_IORING_INFO Info;
ULONG IoRingKernelAcceptedVersion;
PVOID RegBufferArray;
ULONG BufferArraySize;
PVOID Unknown;
ULONG FileHandlesCount;
ULONG SubQueueHead;
ULONG SubQueueTail;
};
이 블로그 글에서 다룬 것과 같은 취약점이
위에서 살펴본 것처럼, 이 취약점을 이용해 원하는 커널 주소에 0x1을 쓸 수 있습니다. I/O 링 프리미티브를 설정하려면 취약점을 두 번 트리거하기만 하면 됩니다.
첫 번째 트리거에서
그림 20 - 처음으로 버그를 트리거한 nt!_IORING_OBJECT
그리고 두 번째 트리거에서는 RegBuffers를 사용자 공간에 할당할 수 있는 주소(예: 0x0000000100000000)로 설정합니다.
그림 21 - 두 번째로 버그를 트리거한 nt!_IORING_OBJECT
남은 작업은
그림 22 - I/O 링 커널 R/W 프리미티브에 대한 사용자 공간 설정
그러한
그림 23 - 위조된 I/O 링 작동 예시
임의의 쓰기를 수행하려면 파일 핸들에서 데이터를 읽고 해당 데이터를 커널 주소에 쓰는 I/O 작업이 필요합니다.
그림 24 - I/O 링 임의 쓰기
반대로, 임의의 읽기를 수행하려면 커널 주소에서 데이터를 읽고 해당 데이터를 파일 핸들에 쓰는 I/O 작업이 수행됩니다.
그림 25 - I/O 링 임의 읽기
원시적인 설정에서 남은 것은 일부 표준 커널 포스트 악용 기술을 사용하여 System(PID 4)과 같은 상승된 프로세스의 토큰을 유출하고 다른 프로세스의 토큰을 덮어쓰는 것뿐입니다.
악용 코드가 공개된 후 360 Icesword Lab의 Xiaoliang Liu(@flame36987044)가 올해 초 야생에서 이 취약점을 악용하는 샘플을 발견했다고 처음으로 공개적으로 밝혔습니다(ITW). ITW 샘플이 사용한 기술은 저희와 달랐습니다. 공격자는 해당하는 Winsock API 함수인
을(를) 사용하여 취약점을 트리거합니다. 저희 악용처럼
드라이버를 직접 호출하지 않습니다.
360 Icesword Lab의 공식 성명은 다음과 같습니다.
"360 IceSword Lab은 APT 탐지 및 방어에 중점을 둡니다. 0day 취약점 레이더 시스템을 기반으로 올해 1월에 야생에서 CVE-2023-21768 악용 샘플을 발견했는데, 이는 시스템 메커니즘과 취약점 기능을 통해 악용된다는 점에서 @chompie1337 및 @FuzzySec에서 발표한 악용과 다릅니다. 악용은
및
와(과) 관련되어 있으며,
은(는)
이(가) 호출된 횟수를 가져옵니다. 그래서 저희는 이것을 사용하여 권한 카운트를 변경합니다."
리버스 엔지니어링의 일부 부분에서는 분석이 피상적이라는 것을 알 수 있습니다. 관련 없는 토끼굴로 빠지는 것을 피하기 위해 일부 관련 상태 변화만 관찰하고 프로그램의 일부를 블랙박스로 취급하는 것이 도움이 될 때가 있습니다. 이를 통해 완료 속도를 최대화하는 것이 목표가 아니더라도 신속하게 악용 사례를 해결할 수 있었습니다.
또한 저희는 "악용 가능성이 더 높음"으로 표시된
afd.sys
Windows 커널에서 슈퍼바이저 모드 액세스 보호(SMAP)에 대한 지원이 부족하기 때문에 새로운 데이터 전용 악용 프리미티브를구성할 수 있는 충분한 옵션이 있습니다. 이러한 기본 요소는 SMAP을 지원하는 다른 운영 체제에서는 사용할 수 없습니다. 예를 들어 Linux의 I/O 링 사전 등록 버퍼 구현의 취약점인 CVE-2021-41073(Windows에서 R/W 프리미티브에 악용하는 것과 동일한 기능)을 생각해 보세요. 이 취약점은 등록된 버퍼에 대한 커널 포인터를 덮어쓸 수는 있지만, 포인터가 사용자 포인터로 대체되고 커널이 그곳에서 읽거나 쓰려고 하면 시스템이 충돌하기 때문에 임의의 R/W 프리미티브를 구성하는 데 사용할 수 없습니다.
Microsoft가 사랑받는 악용 프리미티브를 제거하기 위해 최선의 노력을 기울이고 있지만, 그 자리를 대신할 새로운 프리미티브가 발견될 수밖에 없습니다. 저희는 HVCI와 같은 가상화 기반 보안 기능의 완화나 제약 없이 최신 버전의 Windows 11 22H2를 활용할 수 있었습니다.