微軟關鍵0day漏洞分析:可能危及Web3安全

上個月微軟發布的安全補丁中修復了一個正被黑客利用的Windows內核提權漏洞。該漏洞只影響早期Windows系統,Windows 11似乎不受影響。本文將分析在當前安全措施不斷加強的背景下,攻擊者可能如何繼續利用這一漏洞。

這種0day漏洞被發現後可能在未被察覺的情況下被惡意利用,具有極大的破壞性。通過該漏洞,黑客可獲取Windows系統的完全控制權。被控制後可能導致個人信息泄露、系統崩潰、財務損失等嚴重後果。從Web3角度看,用戶的私鑰可能被竊取,數字資產被轉移,甚至可能影響基於Web2基礎設施的整個Web3生態。

分析補丁發現,問題出在一個對象的引用計數被重復處理。win32k是較老的代碼,從早期注釋可以看出,以前的代碼只鎖定了窗口對象,沒有鎖定窗口中的菜單對象,可能導致菜單對象被錯誤引用。

爲觸發漏洞,我們構造了一個特殊的多層菜單結構,並在關鍵位置刪除了某些引用關係。這樣在內核函數返回用戶層時,可以成功釋放目標菜單對象,使其在後續引用時無效。

利用該漏洞的整體思路是通過讀寫原語修改token地址來提權。關鍵是如何利用UAF漏洞控制cbwndextra的值,以及之後如何穩定地實現任意讀寫。

我們通過精心設計的內存布局,利用窗口對象和HWNDClass對象實現了穩定的讀寫原語。GetMenuBarInfo()用於任意讀,SetClassLongPtr()用於任意寫。除token寫入外,其他寫入都利用第一個窗口對象的class對象通過偏移實現。

總的來說,win32k漏洞歷史悠久,但微軟正在用Rust重構相關代碼。該類漏洞的利用主要依賴桌面堆句柄地址泄露,如不徹底解決這個問題,老系統仍存在隱患。未來對異常的內存布局和窗口數據讀寫進行針對性檢測,可能是發現此類漏洞的有效途徑之一。