微軟Windows系統嚴重漏洞分析:可能導致Web3安全重大隱患

上個月微軟安全補丁中修復了一個正被黑客利用的Windows系統提權漏洞。該漏洞主要存在於早期Windows版本中,無法在Windows 11上觸發。盡管這類漏洞已存在多年,但在當前安全措施不斷完善的背景下,攻擊者如何繼續利用它仍值得深入分析。

本次分析基於Windows Server 2016系統進行。這是一個未公開的零日漏洞,可讓黑客完全控制Windows系統。一旦系統被控制,後果可能包括個人信息泄露、系統崩潰、數據丟失、財務損失等。對Web3用戶而言,私鑰可能被盜取,數字資產被轉移。從更大範圍看,該漏洞甚至可能影響基於Web2基礎設施運行的整個Web3生態系統。

通過分析補丁,發現問題出在對象引用計數的處理上。早期源碼注釋顯示,之前的代碼僅鎖定了窗口對象,而未鎖定窗口中的菜單對象,導致菜單對象可能被錯誤引用。

爲復現該漏洞,我們構造了一個特殊的多層嵌套菜單結構,並對各菜單設置了特定屬性,以通過系統的相關檢查。關鍵是在返回用戶層時刪除菜單間的引用關係,成功釋放目標菜單對象。這樣當內核函數再次引用該菜單時,就會訪問到無效對象。

在實際利用中,我們主要考慮了兩種方案:執行shellcode和利用讀寫原語修改token地址。考慮到高版本Windows的安全機制,我們選擇了後者。整個利用過程可分爲兩步:首先利用UAF漏洞控制cbwndextra值,然後基於此建立穩定的讀寫原語。

爲實現穩定的內存布局,我們設計了連續三個HWND對象的結構,釋放中間對象並用HWNDClass對象佔用。前後的HWND對象分別用於通過系統檢查和作爲最終讀寫媒介。我們還通過泄露的內核句柄地址來精確判斷對象排列是否符合預期。

在讀寫原語方面,我們使用GetMenuBarInfo()實現任意讀取,SetClassLongPtr()實現任意寫入。除了TOKEN替換操作外,其他寫入操作都利用第一個窗口對象的class對象進行。

總的來說,雖然微軟正在用Rust重構相關內核代碼以提高安全性,但對於現有系統,這類漏洞仍然構成嚴重威脅。漏洞利用過程相對簡單,主要依賴桌面堆句柄地址的泄露。未來,對異常內存布局和窗口操作的檢測可能有助於發現類似漏洞。