Microsoft Windows Win32k 特权提升漏洞( MS15-010)

来源链接：http://www.freebuf.com/vuls/90501.html FreeBuf黑客与极客（FreeBuf.COM） 原文地址：http://hdwsec.fr/blog/CVE-2015-0057.html，编译/FB小编鸢尾 **概述** 这是一个use-after-free内核漏洞，它能获取一个专属的write primitive操作，之后侵染临近的一个对象。这个yields语句可以在内核空间或者用户空间随意写入。 更准确的说，这个use-after-free触发器利用scrollbar对象，然后通过一个新的proplist对象(同样大小)替换freed对象。正是因为use-after-free，新对象的header会被一个OR primitive修改。 win32k !xxxEnableWndSBArrows+0xaa: fffff960`0036cdfe 0903 or dword ptr [rbx],eax 该漏洞导致对象属性的最大值增加，这样你就可以将数据push到堆中。通过SetProp(HWND hWnd, LPCTSTR lpString, HANDLE hData)增加一个新属性，可以覆盖下一个对象。 在下文中，我们将使用"SetProp(hWnd, V1, V2)"来代替表示"SetProp(HWND hWnd, LPCTSTR lpString, HANDLE hData)" **在Windows 8.1 (64-bit)上利用** 根据FireEye的报告，有恶意软件使用了上面我们讨论的技术侵染一个临近的菜单对象。事实上，其中有一张截图就显示了tagMENU.rgItems和tagMENU.cItems的值被覆盖。 typedef struct _MENU { … DWORD cItems // number of items contained by the items array … PITEM rgItems // pointer to the items array … } 这在Windows XP下提供了一个write primitive操作，覆盖nt!HalDispatchTable+0×4。接下来我们根据FireEye以及NCC Group所提供的技术细节，在Windows 8.1 64-bit下尝试进行漏洞复现。 我们可能会遇到以下障碍： 1.攻击者不能完全控制每个属性中的内容；虽然V2的8个字节是被完全控制的，但是V1只能使用2个字节。 2.上面提到的_MENU结构有变化，并且由于V1的内容缺乏控制，cItems和rgItems无法完全控制 3.需要绕过ASLR和SMEP 4.需要绕过heap entry编码机制 5.最后覆盖的对象还要记得恢复，以避免当内核释放时造成崩溃 **获取任意写入操作** 为了替代直接覆盖rgItems和cItems，NCC Group发现并提供的一个解决方案涉及对堆的header操作和两个覆盖，以便最终控制一个窗口结构，提供一个读写primitive操作。在此我建议大家可以看看他们提供的解决方案[3]，其中的技巧已经写的非常详细了。 我选择控制一个菜单对象，因为它在各种操作系统(从Windows XP到8.1)下提供了一个常见的write primitive；在这种情况下，read primitive的不足对于我们来说也就不存在问题了。 虽然Dyre恶意软件损坏cItems和rgItems，然而我们要做的仅仅只是损坏rgItems字段： a.创建了一个item的菜单，使用CreateMenu()以及InsertMenuItem() b.使用NCC Group提供的覆盖控制方法损坏rgItems(item数组的地址) c.数组的第一个item指向rgItems包含的一个wID字段(我们使用SetMenuItemInfo()进行修改的字段)，这也导致我们获得任意write primitive操作 接下来的这一步骤十分经典：nt!HalDispatchTable+8中的一个函数指针被覆盖，然后会运行的payload包括两个阶段： 1.首先恢复桌面堆(desktop heap)以及原始的函数指针 2.第二阶段是一个用于改变当前系统进程token的Shellcode **绕过heap header编码** 在该利用例子中，第一个覆盖的heap header是必须要修改的，之后我们必须在第二个覆盖内容中建立一个假的heap header。这里由于Windows 8.1的heap header是由一个cookie进行编码，为进一步的了解细节，有必要去看看Chris Valasek以及Tarjei Mandt所提供的参考[9][10] NCC Group提供的解决方案依赖于桌面堆(desktop heap)映射的只读用户区域，暴露cookie的值。 首先我们必须找到用于编码heap header的cookie，进而确认桌面堆(desktop heap)的heap base。然后我们可以获取到存储在0×80下的cookie： nt!_HEAP +0x000 Entry : _HEAP_ENTRY +0x010 SegmentSignature : Uint4B […] +0x07c EncodeFlagMask : Uint4B +0x080 Encoding : _HEAP_ENTRY […] 现在就可以通过对编码字段进行xor操作解码heap header 接着解码并修改Entry后，我们只需计算新的SmallTagIndex的校验和： Entry.SmallTagIndex = Entry.SizeLow ^ Entry.SizeHigh ^ Entry.Flags; **在中等完整性等级下绕过ASLR** 在中等完整性权限下ASLR对我们来说没有啥问题： a.使用NtQuerySystemInformation()获取ntoskrnl以及hal.dll的基地址 b.动态获取ROP小工具偏移量，之后恢复后的hal!HaliQuerySystemInformation()会分别读取ntoskrnl.exe和hal.dll 在低等完整性等级下绕过ASLR NtQuerySystemInformation()是不能从一个低等完整性等级下进行调用的。尽管在exploit源代码中没有实现，但是Alex Ionescu [5]提出了一种使用SIDT作为内核信息泄漏的方法，该方法是不会理会完整性等级的。 **绕过SMEP** 早在2011年5月，为了使用户模式页面从内核中执行，Dan Rosenberg就提出了一种十分新颖的方式绕过Linux下的SMEP[6]。j00ru以及Gynvael Coldwind将这一技术进一步应用到到Windows[7]。对于该exploit，我使用了siberas在2014 pwn2own所展示的方法[8] **防止post-exploitation崩溃** 为了防止post-exploitation崩溃，记得一定要清理桌面堆(desktop heap)。事实上，已损坏的对象以及hal!HaliQuerySystemInformation()的原始指针都是需要进行恢复的。  Exp放送 链接: http://pan.baidu.com/s/1kUyvFTH 密码: x5pd 参考文献 [1] http://breakingmalware.com/vulnerabilities/one-bit-rule-bypassing-windows-10-protections-using-single-bit/ [2] https://www.fireeye.com/blog/threat-research/2015/07/dyre_banking_trojan.html [3] https://www.nccgroup.trust/globalassets/newsroom/uk/blog/documents/2015/07/exploiting-cve-2015.pdf [4] https://media.blackhat.com/bh-us-11/Mandt/BH_US_11_Mandt_win32k_WP.pdf [5] http://recon.cx/2013/slides/Recon2013-Alex%20Ionescu-I%20got%2099%20problems%20but%20a%20kernel%20pointer%20ain't%20one.pdf [6] http://vulnfactory.org/blog/2011/06/05/smep-what-is-it-and-how-to-beat-it-on-linux/ [7] http://j00ru.vexillium.org/?p=783 [8] http://www.siberas.de/papers/Pwn2Own_2014_AFD.sys_privilege_escalation.pdf [9] http://illmatics.com/Understanding_the_LFH.pdf [10] http://illmatics.com/Windows%208%20Heap%20Internals.pdf