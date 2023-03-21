'تحديث أمني يوم الثلاثاء، واستغلال يوم الأربعاء' هي مقولة قديمة عن حوادث الاختراق تشير إلى استغلال الثغرات الأمنية في اليوم التالي لإصدار تحديثات الأمان الشهرية. مع تحسن الأمن وزيادة تطور إجراءات الحد من الاستغلال، ازدادت أعمال البحث والتطوير المطلوبة لإنشاء حوادث استغلال فعالة. وهذا مهم بشكل خاص للثغرات الأمنية المتعلقة بتلف الذاكرة.
الشكل 1 — الجدول الزمني للاستغلال
ومع ذلك، مع إضافة مزايا جديدة (وكود C غير الآمن للذاكرة) في نواة Windows 11، يمكن ظهور نطاقات هجوم جديدة سهلة الاستغلال. ومن خلال التركيز على هذا الكود الذي أُضيف حديثًا، نوضح أن الثغرات الأمنية التي يمكن استغلالها بسهولة لا تزال تظهر بشكل متكرر. في منشور المدونة هذا، نعمل على تحليل واستغلال ثغرة أمنية في برنامج تشغيل دوال Windows الإضافية الخاصة بواجهة WinSock، afd.sys، بهدف زيادة الامتيازات المحلية (LPE) على Windows 11. وعلى الرغم من أنه لم يكن لدى أي منا أي خبرة سابقة في استخدام وحدة النواة هذه، إلا أننا تمكنا من تشخيص الثغرة الأمنية وإعادة إنتاجها واستغلالها في غضون يوم واحد تقريبًا. يمكنك العثور على كود الاستغلال من هنا.
بناءً على تفاصيل CVE-2023-21768 التي نشرها مركز الاستجابة الأمنية في Microsoft (MSRC)، فإن الثغرة الأمنية موجودة في برنامج تشغيل الدوال الإضافية (AFD)، والذي يحمل ملفه الثنائي اسم afd.sys. وحدة AFD هي نقطة دخول النواة الخاصة بواجهة برمجية التطبيقات Winsock. وباستخدام هذه المعلومات، حللنا إصدار برنامج التشغيل الذي صدر في ديسمبر 2022 وأجرينا مقارنة بينه وبين الإصدار الجديد الذي صدر في يناير 2023. يمكن الحصول على كل عينة من هذه العينات من Winbindex من دون الحاجة إلى إجراء عملية استخراج التغييرات من تحديثات Microsoft الأمنية التي تستغرق وقتًا طويلاً. فيما يلي الإصداران اللذان جرى تحليلهما.
استُخدمت أداةGhidra لإنشاء ملفات تصدير ثنائية لكلا الملفين حتى يمكن مقارنتهما باستخدام BinDiff. فيما يلي نظرة عامة على الدوال المتطابقة.
الشكل 2 — مقارنة ثنائية لملف AFD.sys
تبين أن دالة واحدة فقط قد تغيرت،
ما قبل التحديث الأمني،
الشكل 3 — ما قبل تحديث afd!AfdNotifyRemoveIoCompletion
ما بعد التحديث الأمني، إصدار afd.sys 10.0.22621.1105.
الشكل 4 — ما بعد تحديث afd!AfdNotifyRemoveIoCompletion
هذا التغيير الموضح أعلاه هو التحديث الوحيد للدالة المحددة. أظهرت بعض التحليلات السريعة أن هناك فحص يُجرى بناءً على
تساوي صفر (ما يشير إلى أن الاستدعاء صادر من النواة)، تُكتب القيمة إلى المؤشر المحدد بواسطة حقل في بنية غير معروفة. من ناحية أخرى، إذا كانت قيمة
ليست صفرًا، فعندئذٍ، يُجرى استدعاء ProbeForWrite للتأكد من أن المؤشر المحدد في الحقل هو عنوان صالح موجود في وضع المستخدم.
وهذا الفحص غير موجود في إصدار ما قبل التحديث الأمني لبرنامج التشغيل. ونظرًا إلى أن الدالة بها عبارة تبديل محددة من أجل
، فمن المفترض أن المطور كان ينوي إضافة هذا الفحص ولكنه نسي (جميعنا نحتاج إلى شرب القهوة للتركيز أحيانًا ☕!).
من هذا التحديث، يمكننا استنتاج أنه يمكن للمهاجم الوصول إلى مسار الكود هذا بقيمة مضبوطة على
field_0x18
يحتوي النموذج الأولي للدالة نفسه على كل من قيمة
الشكل 5 — النموذج الأولي للدالة afd!AfdNotifyRemoveIoCompletion
نحن نعرف الآن موقع الثغرة الأمنية، ولكننا لا نعرف كيفية تشغيل عملية تنفيذ مسار الكود الذي يحتوي على الثغرة. سننفذ ببعض أعمال الهندسة العكسية قبل أن نبدأ في العمل على إثبات المفهوم (PoC).
أولاً، تتبعنا الدالة التي تحتوي على الثغرة لمعرفة مكان وكيفية استخدامها.
الشكل 6 — الإحالات التتبعية للدالة afd!AfdNotifyRemoveIoCompletion
يُجرى استدعاء واحد للدالة التي تحتوي على الثغرة في
نكرر العملية بحثًا عن الإحالات المرجعية فيما يخص
الشكل 7 — afd!AfdIrpCallDispatch
يحتوي هذا الجدول على إجراءات الإرسال الروتينية لبرنامج تشغيل AFD. تُستخدم إجراءات الإرسال الروتينية لمعالجة الطلبات الواردة من تطبيقات Win32 عن طريق استدعاء DeviceIoControl. يمكن العثور على كود التحكم لكل دالة في
لكن، لم يكن المؤشر المذكور أعلاه ضمن جدول
الشكل 8 — afd!AfdIoctlTable
من الجدير بالذكر أن هذا هو آخر كود للتحكم في الإدخال/الإخراج (IOCTL) في الجدول، ما يشير إلى أن AfdNotifySock هي على الأرجح دالة إرسال جديدة أُضيفت مؤخرًا إلى برنامج تشغيل AFD.
في هذه المرحلة، كان أمامنا خياران. يمكننا إما إجراء هندسة عكسية لواجهة برمجة تطبيقات Winsock المقابلة في مساحة المستخدم لفهم كيفية استدعاء دالة النواة الأساسية بشكل أفضل، أو إجراء هندسة عكسية لكود النواة واستدعائها مباشرةً. لكن في الواقع، لم نكن نعرف دالة Winsock التي تقابل
لقد عثرنا على كود نشره x86matthew ينفذ عمليات المقبس عن طريق استدعاء برنامج تشغيل AFD مباشرةً، متجاهلاً مكتبة Winsock. وهذا أمر مثير للاهتمام من منظور التخفي، ولكن بالنسبة إلى أغراضنا، يُعد قالبًا جيدًا لإنشاء معرّف لمقبس TCP لتقديم طلبات IOCTL إلى برنامج تشغيل AFD. وبفضل ذلك، تمكنا من الوصول إلى الدالة المستهدفة، كما يتضح من خلال الوصول إلى نقطة التوقف المحددة في WinDbg في أثناء تصحيح أخطاء النواة.
الشكل 9 — نقطة توقف afd!AfdNotifySock
والآن، لنعد إلى النموذج الأولي لدالة
في هذه المرحلة، لا نعرف كيفية ملء البيانات في lpInBuffer، والتي سنسميها
دعونا نلقي نظرة على كل فحص.
الفحص الأول الذي نجريه يكون في بداية
الشكل 10 — فحص حجم afd!AfdNotifySock
يخبرنا هذا الفحص أن حجم
يتحقق الفحص التالي من صحة القيم الموجودة في الحقول المختلفة في البنية:
الشكل 11 — التحقق من صحة بنية afd!AfdNotifySock
في ذلك الوقت، لم نكن نعرف ما يقابل أي من الحقول، لذلك مررنا مصفوفة بحجم
الفحص التالي يكون بعد استدعاء ObReferenceObjectByHandle. تأخذ هذه الدالة الحقل الأول من بنية الإدخال كأول وسيط لها.
الشكل 12 — afd!AfdNotifySock تستدعي nt!ObReferenceObjectByHandle
يجب أن ينجح الاستدعاء حتى نتمكن من الانتقال إلى مسار تنفيذ الكود الصحيح، وهو ما يعني أنه يجب علينا تمرير معرّف صالح إلى
بعد ذلك، نصل إلى حلقة قيمة عدادها كانت إحدى القيم الموجودة في بنيتنا:
الشكل 13 — حلقة afd!AfdNotifySock
في هذه الحلقة، جرى فحص حقل من بنيتنا للتحقق من احتوائه على مؤشر صالح لوضع المستخدم، ثم نُسخت البيانات إليه. يزداد المؤشر بعد كل تكرار للحلقة. ملأنا المؤشرات بعناوين صالحة وضبطنا العداد على 1. ومن ثَم، تمكنا أخيرًا من الوصول إلى الدالة التي تحتوي على الثغرة
الشكل 14 — استدعاء afd!AfdNotifyRemoveIoCompletion
بمجرد الدخول إليها
الشكل 15 — فحص حقول afd! Afd!AfdNotifyRemoveIoCompletion
أخيرًا، آخر فحص يجب اجتيازه قبل الوصول إلى الكود المستهدف هو استدعاء
والتي يجب أن تُرجع القيمة 0 (
).
ستُحظر هذه الدالة حتى حدوث أحد الأمرين التاليين:
معلمة
IoCompletionObject
نحن نتحكم في قيمة المهلة من خلال بنيتنا، لكن مجرد تعيين المهلة على 0 لا يكفي لنجاح الدالة. لكي لا تُرجع هذه الدالة أية أخطاء، يجب أن يكون هناك سجل إنجاز واحد على الأقل. بعد البحث، وجدنا الدالة غير الموثقة NtSetIoCompletion، والتي تزيد يدويًا عداد الإدخال/الإخراج المعلق على
. استدعاء هذه الدالة على
التي أنشأناها سابقًا يضمن أن استدعاء
يُرجع
الشكل 16 — afd!AfdNotifyRemoveIoCompletion فحص قيمة إرجاع nt!IoRemoveIoCompletion
الآن، بعد أن تمكنا من الوصول إلى الكود الذي يحتوي على الثغرة، يمكننا ملء الحقل المناسب في بنيتنا بعنوان عشوائي للكتابة فيه. القيمة التي نكتبها في حقل العنوان تأتي من عدد صحيح يُمرر مؤشره في استدعاء
الشكل 17 — قيمة إرجاع nt!KeRemoveQueueEx
الشكل 18 — استخدام قيمة إرجاع nt!KeRemoveQueueEx
في إثبات المفهوم لدينا، تساوي قيمة الكتابة هذه دائمًا
. لقد توقعنا أن قيمة المرجعة من
هي عدد العناصر المحذوفة من قائمة الانتظار، مع عدم إجراء مزيد من التحقيق. في هذه المرحلة، كان لدينا البيانات البدائية التي نحتاجها وانتقلنا لاستكمال عملية الاستغلال. وتأكدنا لاحقًا أن هذا التخمين كان صحيحًا، ويمكن زيادة قيمة الكتابة بشكل عشوائي من خلال إجراء المزيد من استدعاءات
على
بفضل إمكانية كتابة قيمة ثابتة (0x1) في حقل عنوان نواة عشوائي، تمكنا من تحويل هذه الإمكانية إلى قراءة/كتابة نواة عشوائية كاملة. ونظرًا إلى أن هذه الثغرة الأمنية تؤثر في أحدث إصدارات Windows 11 (22H2)، فقد اخترنا الاستفادة من تلف كائن حلقةالإدخال/الإخراج في Windows لإنشاء البيانات البدائية الخاصة بنا. كتب Yarden Shafir عددًا من المنشورات الممتازة حول حلقات الإدخال/الإخراج الخاصة بنظام Windows، كما طوّر وكشف عن البيانات البدائية التي استفدنا منها في سلسلة الاستغلال هذه. وحسب علمنا، هذه هي المرة الأولى التي تُستخدم فيها هذه البيانات البدائية في عملية استغلال علني.
عند تهيئة حلقة الإدخال/الإخراج من قبل المستخدم، تُنشأ بنيتان منفصلتان، واحدة في مساحة المستخدم والأخرى في مساحة النواة. فيما يلي هاتان البينتان.
كائن النواة يتوافق مع
الشكل 19 — تهيئة nt!_IORING_OBJECT
لاحظ أن كائن النواة يحتوي على حقلين،
في مساحة المستخدم، عند استدعاء kernelbase!CreateIoRing ، ستحصل على معرّف حلقة الإدخال/الإخراج عند النجاح. وهذا المعرّف هو مؤشر لبنية غير موثقة (HIORing). لقد حصلنا على تعريف هذه البنية من البحث الذي أجراه Yarden Shafir.
typedef struct _HIORING {
HANDLE handle;
NT_IORING_INFO Info;
ULONG IoRingKernelAcceptedVersion;
PVOID RegBufferArray;
ULONG BufferArraySize;
PVOID Unknown;
ULONG FileHandlesCount;
ULONG SubQueueHead;
ULONG SubQueueTail;
};
إذا كانت هناك ثغرة أمنية، مثل تلك التي المذكورة في منشور المدونة هذا، تتيح لك تحديث حقول
كما رأينا أعلاه، يمكننا استخدام الثغرة لكتابة 0x1 في أي عنوان نواة نريده. ولإعداد بيانات بدائية لحلقة الإدخال/الإخراج، يمكننا ببساطة تشغيل الثغرة الأمنية مرتين.
في المرة الأولى، نضبط
الشكل 20 — تشغيل nt!_IORING_OBJECT للثغرة لأول مرة
وفي المرة الثانية نضبط RegBuffers على عنوان يمكننا تخصيصه في مساحة المستخدم (مثل 0x0000000100000000).
الشكل 21 — تشغيل nt!_IORING_OBJECT للثغرة للمرة الثانية
يبقى فقط وضع عمليات الإدخال/الإخراج في قائمة الانتظار عن طريق كتابة مؤشرات إلى بنيات
الشكل 22 — إعداد مساحة المستخدم للبيانات البدائية الخاصة بكتابة/قراءة نواة حلقة الإدخال/الإخراج
واحد منها
الشكل 23 — مثال على عملية حلقة الإدخال/الإخراج المزيفة
لتنفيذ عملية كتابة عشوائية، تُعيّن عملية إدخال/إخراج لقراءة البيانات من معرّف ملف وكتابة تلك البيانات إلى عنوان نواة.
الشكل 24 — الكتابة العشوائية لحلقة الإدخال/الإخراج
وفي المقابل، لتنفيذ عملية قراءة عشوائية، تُعيّن عملية إدخال/إخراج لقراءة البيانات في عنوان نواة وكتابة تلك البيانات إلى معرّف ملف.
الشكل 25 – القراءة العشوائية لحلقة الإدخال/الإخراج
مع إعداد البيانات البدائية،لا يبقى سوى استخدام بعض تقنيات ما بعد الاستغلال القياسية في النواة لتسريب الرمز المميز لعملية ذات امتيازات مرتفعة مثل عملية النظام (PID 4) واستبداله بالرمز المميز لعملية أخرى.
بعد الإصدار العام لكود الاستغلال الخاص بنا، كشف Xiaoliang Liu (@flame36987044) من 360 Icesword Lab علنًا لأول مرة، عن أنهم اكتشفوا عينة تستغل هذه الثغرة الأمنية على أرض الواقع (ITW) في وقت سابق من هذا العام. وكان الأسلوب الذي استخدمته عينة ITW مختلفًا عن أسلوبنا. يشغل المهاجم الثغرة الأمنية باستخدام دالة واجهة برمجة التطبيقات Winsock المقابلة،
، بدلاً من استدعاء برنامج تشغيل
مباشرة، كما فعلنا في عملية الاستغلال التي أجريناها.
فيما يلي البيان الرسمي الصادر عن 360 Icesword Lab:
"360 IceSword Lab يركز على الكشف عن التهديدات المتقدمة المستمرة (APT) والحماية منها. استنادًا إلى نظام رادار ثغرات اليوم الصفري لدينا، اكتشفنا عينة استغلال للثغرة CVE-2023-21768 على أرض الواقع في شهر يناير من هذا العام، والتي تختلف عن الثغرات التي أعلن عن استغلالها @chompie1337 و@FuzzySec من حيث استغلالها من خلال آليات النظام ومزايا الثغرات. يرتبط الاستغلال بكل من
و
،
تحصل على عدد مرات
يُجرى استدعاؤها، لذلك نستخدم هذا لتغيير عدد الامتيازات".
قد تلاحظ أن أجزاء من تحليلنا للهندسة العكسية كانت سطحية. أحيانا يكون من المفيد الإشارة إلى بعض التغييرات المتعلقة بالحالة فقط والتعامل مع أجزاء البرنامج كصندوق أسود، لتجنب الوقوع في دوامة غير ذات صلة. وهذا سمح لنا بتسريع عملية الاستغلال، رغم أن تسريع الإنجاز لم يكن هدفنا.
بالإضافة إلى ذلك، استعرضنا تغييرات التحديث الأمني لجميع الثغرات الأمنية المذكورة في
afd.sys
يتيح لنا غياب دعم Supervisor Mode Access Protection (SMAP) في نواة Windows خيارات وفيرة لإنشاء بيانات بدائية جديدة لاستغلال البيانات فقط. ولا يمكن إنشاء هذه البيانات البدائية في أنظمة التشغيل الأخرى التي تدعم SMAP. على سبيل المثال، CVE-2021-41073، وهي ثغرة في تنفيذ Linux للمخازن المؤقتة لحلقة الإدخال/الإخراج المسجلة مسبقًا، (وهي الميزة نفسها التي نستغلها في Windows لإنشاء البيانات البدائية للقراءة/الكتابة). يمكن أن تسمح هذه الثغرة الأمنية باستبدال مؤشر النواة الخاص بمخزن مؤقت مسجل، ولكن لا يمكن استخدامها لإنشاء بيانات بدائية للقراءة/الكتابة العشوائية لأنه في حال استبدال المؤشر بمؤشر مستخدم، وحاولت النواة القراءة أو الكتابة هناك، فسوف يتعطل النظام.
رغم جهود Microsoft الكبيرة للقضاء على البيانات البدائيةالمفضلة في عمليات الاستغلال، من المؤكد أن هناك بيانات بدائية جديدة ستكتشف لتحل محلها. تمكنا من استغلال أحدث إصدار من Windows 11 22H2 من دون مواجهة أي تصدي أو قيود من مزايا الأمان التي تستند إلى المحاكاة الافتراضية مثل HVCI.