微软关键0day漏洞分析:可能危及Web3安全

上个月微软发布的安全补丁中修复了一个正被黑客利用的Windows内核提权漏洞。该漏洞只影响早期Windows系统,Windows 11似乎不受影响。本文将分析在当前安全措施不断加强的背景下,攻击者可能如何继续利用这一漏洞。

这种0day漏洞被发现后可能在未被察觉的情况下被恶意利用,具有极大的破坏性。通过该漏洞,黑客可获取Windows系统的完全控制权。被控制后可能导致个人信息泄露、系统崩溃、财务损失等严重后果。从Web3角度看,用户的私钥可能被窃取,数字资产被转移,甚至可能影响基于Web2基础设施的整个Web3生态。

分析补丁发现,问题出在一个对象的引用计数被重复处理。win32k是较老的代码,从早期注释可以看出,以前的代码只锁定了窗口对象,没有锁定窗口中的菜单对象,可能导致菜单对象被错误引用。

为触发漏洞,我们构造了一个特殊的多层菜单结构,并在关键位置删除了某些引用关系。这样在内核函数返回用户层时,可以成功释放目标菜单对象,使其在后续引用时无效。

利用该漏洞的整体思路是通过读写原语修改token地址来提权。关键是如何利用UAF漏洞控制cbwndextra的值,以及之后如何稳定地实现任意读写。

我们通过精心设计的内存布局,利用窗口对象和HWNDClass对象实现了稳定的读写原语。GetMenuBarInfo()用于任意读,SetClassLongPtr()用于任意写。除token写入外,其他写入都利用第一个窗口对象的class对象通过偏移实现。

总的来说,win32k漏洞历史悠久,但微软正在用Rust重构相关代码。该类漏洞的利用主要依赖桌面堆句柄地址泄露,如不彻底解决这个问题,老系统仍存在隐患。未来对异常的内存布局和窗口数据读写进行针对性检测,可能是发现此类漏洞的有效途径之一。