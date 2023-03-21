Puede notar que en algunas partes de la ingeniería inversa nuestro análisis es superficial. A veces resulta útil limitarse a observar algunos cambios de estado relevantes y tratar partes del programa como una caja negra, para evitar perderse en detalles irrelevantes. Esto nos permitió revertir un exploit rápidamente, aunque maximizar la velocidad de finalización no era nuestro objetivo.

Además, realizamos una revisión de diferencias de parches de todas las vulnerabilidades reportadas en afd.sys indicado como "Explotación más probable". Nuestra revisión reveló que todas las vulnerabilidades, excepto dos, fueron resultado de una validación incorrecta de los punteros pasados desde el modo de usuario. Esto demuestra que tener un conocimiento histórico de vulnerabilidades pasadas, particularmente dentro de un objetivo específico, puede ser fructífero para encontrar nuevas vulnerabilidades. Cuando se amplía la base de código, es probable que se repitan los mismos errores. Recuerde, nuevo código C == nuevos errores 😀. Como lo demuestra el descubrimiento de la vulnerabilidad mencionada anteriormente, que se está explotando en la red, se puede afirmar con certeza que los atacantes también están vigilando de cerca las nuevas incorporaciones al código base.

La falta de soporte para Supervisor Mode Access Protection (SMAP) en el kernel de Windows nos deja con abundantes opciones para construir nuevas primitivas de exploit de solo datos. Estas primitivas no son viables en otros sistemas operativos compatibles con SMAP. Por ejemplo, considere CVE-2021-41073, una vulnerabilidad en la implementación de Linux de búferes prerregistrados de anillos de E/S (la misma característica de la que abusamos en Windows para una primitiva R/W). Esta vulnerabilidad puede permitir sobrescribir un puntero del kernel para un búfer registrado, pero no se puede utilizar para construir una primitiva R/W arbitraria porque si el puntero se reemplaza por un puntero de usuario y el kernel intenta leer o escribir allí, el sistema se bloqueará.

A pesar de los esfuerzos de Microsoft por eliminar la posibilidad de explotar las primitivas, es inevitable que aparezcan nuevas primitivas que ocupen su lugar. Pudimos explotar la última versión de Windows 11 22H2 sin encontrar ninguna mitigación ni restricción por parte de las características de seguridad basadas en virtualización como HVCI.