微软Windows系统严重漏洞分析:可能导致Web3安全重大隐患

上个月微软安全补丁中修复了一个正被黑客利用的Windows系统提权漏洞。该漏洞主要存在于早期Windows版本中,无法在Windows 11上触发。尽管这类漏洞已存在多年,但在当前安全措施不断完善的背景下,攻击者如何继续利用它仍值得深入分析。

本次分析基于Windows Server 2016系统进行。这是一个未公开的零日漏洞,可让黑客完全控制Windows系统。一旦系统被控制,后果可能包括个人信息泄露、系统崩溃、数据丢失、财务损失等。对Web3用户而言,私钥可能被盗取,数字资产被转移。从更大范围看,该漏洞甚至可能影响基于Web2基础设施运行的整个Web3生态系统。

通过分析补丁,发现问题出在对象引用计数的处理上。早期源码注释显示,之前的代码仅锁定了窗口对象,而未锁定窗口中的菜单对象,导致菜单对象可能被错误引用。

为复现该漏洞,我们构造了一个特殊的多层嵌套菜单结构,并对各菜单设置了特定属性,以通过系统的相关检查。关键是在返回用户层时删除菜单间的引用关系,成功释放目标菜单对象。这样当内核函数再次引用该菜单时,就会访问到无效对象。

在实际利用中,我们主要考虑了两种方案:执行shellcode和利用读写原语修改token地址。考虑到高版本Windows的安全机制,我们选择了后者。整个利用过程可分为两步:首先利用UAF漏洞控制cbwndextra值,然后基于此建立稳定的读写原语。

为实现稳定的内存布局,我们设计了连续三个HWND对象的结构,释放中间对象并用HWNDClass对象占用。前后的HWND对象分别用于通过系统检查和作为最终读写媒介。我们还通过泄露的内核句柄地址来精确判断对象排列是否符合预期。

在读写原语方面,我们使用GetMenuBarInfo()实现任意读取,SetClassLongPtr()实现任意写入。除了TOKEN替换操作外,其他写入操作都利用第一个窗口对象的class对象进行。

总的来说,虽然微软正在用Rust重构相关内核代码以提高安全性,但对于现有系统,这类漏洞仍然构成严重威胁。漏洞利用过程相对简单,主要依赖桌面堆句柄地址的泄露。未来,对异常内存布局和窗口操作的检测可能有助于发现类似漏洞。