Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室

漏洞信息

漏洞简介

漏洞名称:Microsoft Windows Win32k本地提权漏洞

漏洞编号:CVE-2015-2546

漏洞类型:UAF

影响范围:Windows 7 Service Pack 1

Windows Vista SP2

Windows Server 2008 sp2

Windows Server 2008 r2 x64 sp1

CVSS3.0:N/A

CVSS2.0: 6.9

组件概述

win32k.sys是Windows的多用户管理的sys文件

MicrosoftWindows是美国微软(Microsoft)公司发布的一系列操作系统。kernel-modedrivers是其中的一个内核驱动管理软件。Graphics是其中的一个图形驱动器组件。MicrosoftWindows内核模式驱动程序中存在特权提升漏洞,该漏洞源于程序没有正确地处理内存中的对象。本地攻击者可利用该漏洞在内核模式下运行任意代码。

3 影响版本

Windows 7 Service Pack 1

Windows Vista SP2

Windows Server 2008 sp2

Windows Server 2008 r2 x64 sp1

4 解决方案

http://technet.microsoft.com/security/bulletin/MS15-097

漏洞复现

1 环境搭建

Windows:Windows 7 sp1 x86

win32k.sys:6.1.7601.17154

2 复现过程

获取exp,编译cpp文件,获得可执行文件。在编译过程中,只有x86的编译成功了,x64的暂未成功。

之后在靶机上面执行exp

图片[1]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

漏洞分析

1 基本信息

● 漏洞文件:win32k.sys

● 漏洞函数:xxxMNMouseMove

● 漏洞对象:pPopupMenu

2 背景知识

在xxxMNMouseMove函数中,xxxSendMessage(pwnd, 0x1F0,…)发起了一次用户模式回调。在这次回调中,攻击者可以销毁Menu窗口,释放tagPOPUPMENU对象并占位重用。当回调返回内核之后,补丁前的xxxMNmouseMove并没有对已释放的pPopupMenu进行验证。之后pPopupMenu被传入xxxMNHideNextHierarchy,xxxMNHideNextHierarchy会对tagPOPUPMENU.spwndNextPopup发送消息,攻击者创建合适的对象占用被释放的tagPOPUPMENU内存,构造好tagPOPUPMENU.spwndNextPopup的数据,即可实现内核任意代码执行。

3 补丁对比

bindiff进行比较,可以发现在调用SendMessage函数之后增加了一层判断。

图片[2]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

下面两图时补丁前与补丁后的IDA反汇编代码。

图片[3]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

图片[4]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

反汇编可以看到,第81行加了一个判断,

tagWND+0xb0处存放的是pPopupMenu的指针。这里检测回调之后tagMENUWND->pPopupMenu是否被修改,因为攻击是在回调的过程中,将shellcode写入指定的地址,回调完成后,UAF使用了这块空间,执行了shellcode。

4 漏洞分析

4.1 静态分析

4.1.1 补丁分析

分析补丁代码,我们可以追踪a2的值是怎样传递的,首先分析,a2的含义。

63行,v7的值赋值给a2,v7又是通过safe_cast_fnid_to_PMENUWND以v6当作参数来获取的。

图片[5]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

再跟进看一下safe_cast_fnid_to_PMENUWND,该函数的作用是检查窗口对象是否为FNID_MENU(fnid = 0x29C),如果通过safe_cast_fnid_to_PMENUWND检查,则表明这的确是一个类为#32768的菜单窗口对象。

图片[6]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

为什么通过safe_cast_fnid_to_PMENUWND检查,则表明这的确是一个类为#32768的菜单窗口对象?

在 Windows 内核中,菜单对象在屏幕中的显示通过窗口 tagWND 对象的特殊类型 #32768(MENUCLASS) 菜单窗口对象来实现,菜单窗口对象末尾的扩展区域中存储指向关联的弹出菜单 tagPOPUPMENU 对象的指针。

图片[7]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

我们在往回看一下v6是在哪里赋值的,通过xxxMNFindWindowFromPoint来进行赋值,xxxMNFindWindowFromPoint函数的作用是得到菜单窗口对象指针ptagWND,所以v6的值是ptagWND。

图片[8]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

所以a2的值为ptagWND。

查找资料发现:safe_cast_fnid。to_PMENUWND()的输出将会是PMENUWND结构。PMENUWND结构的定义如下:

查找资料发现:safe_cast_fnid。to_PMENUWND()的输出将会是PMENUWND结构。PMENUWND结构的定义如下:

typedef struct tagMENUWND {

WND wnd; 

PPOPUPMENU ppopupmenu;

} MENUWND, *PMENUWND;

那么ptagWND+176所代表的位置存放的是其pPopupMenu的指针。因此可以推断出这几句是检查回调之后tagMENUWND->pPopupMenu是否被修改。

4.1.2 漏洞触发流程

首先是通过xxxMNFindWindowFromPoint创建个窗口句柄v6,然后将v6赋值给v7,这样现在v7的值也为窗口句柄。

图片[9]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

这里在51行做了一个判断,假如v7不为窗口类型的话,则退出,这样我们就不能在前面设置钩子来更改v7的值了。

图片[10]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

然后在第59行给v9进行赋值,该值为v7+0xb0,代表的含义为pPopupMenu的指针,在4.1补丁分析的章节也已经推断出来了。

图片[11]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

然后就到达了第68行,通过SendMessage进行一个异步消息的发送,之后程序进入到用户态 。

图片[3]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

在这次回调的过程中,我们可以释放掉tagMENUWND的空间,从而销毁了tagPOPUPMENU的空间,之后我们再重新申请这一块空间fake。并将shellcode写入到这块空间中(这时,tagPOPUPMENU的所分配的堆空间和我们申请的fake的堆空间是用一块空间,这样,再次调用tagPOPUPMENU这块空间时,将会执行shellcode),当回调返回内核时,补丁前的xxxMNmouseMove并没有对已经释放掉的pPopupMenu进行验证,之后pPopupMenu被传入xxxMNHideNextHierarchy。

图片[13]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

这里面v9的值,就是pPopupMenu,我们已经通过UAF将它所指向的那块空间的值的内存空间改变了。

图片[14]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

这里将v9传入xxxMNHideNextHierarchy函数中,xxxMNHideNextHierarchy会对tagPOPUPMENU.spwndNextPopup发送消息。

这里面的tagPOPUPMENU.spwndNextPopup是a1+12,我们可以创建合适的对象占用被释放的tagPOPUPMENU内存,构造好tagPOPUPMENU.spwndNextPopup的数据,这样我们恶意构造的数据就可以通过SendMessage进行执行,这样就可以造成内核态任意代码执行。

图片[15]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

4.2 动态分析

4.2.1 漏洞调试

函数调用栈:

图片[16]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

在刚刚的静态分析也已经大致阐述了,要想达到漏洞的利用点,那么必须通过xxxMNFindWindowFromPoint得到ptagWND,并且这个ptagWND窗口对象必须是FNID_MENU(fnid = 0x29C),这样就可以走到漏洞部分。

首先在xxxMNMouseMove处下断点,然后运行exp。

图片[17]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

这里执行过了xxxMNFindWindowFromPoint,该函数的返回值通过esi进行存取,这里esi的值为0x9d99f580

图片[18]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

接着向下走,在这里,将ebx赋值为dword ptr[esi+0xb0h],在上面静态分析也已经提到过,这个值是上面v9的值,这里的值为:0xfe83f988

图片[19]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

然后继续向下执行,这时ebx的值和dword ptr[esi+0xb0]的值是相同的。

图片[20]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

当执行完成0x9d8b9538这条call指令时,ebx的值没有改变,但是dword ptr[esi+0xb0]所指向位置的值却为0了。

图片[21]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

我们跟进这个xxxSendMessage中,看看里面执行了哪些操作。

图片[22]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

图片[23]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

之后进入xxxSendMeassageTimeout,在这里调用了hook。

图片[24]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

进入xxxCallHook函数,在这里调用了两个函数,PhkFirstValid函数的作用是可以找到第一个钩子函数。

图片[25]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

然后将ebx作为参数传入到xxxMNHideNextHierarchy中。

图片[26]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

之后一路走到第二个xxxSendMessage处,跟进。

图片[27]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

传入的值为0x5,这个值就是tagPopupMenu的值,也就是exp所占用零表空间写入的值,f构造了fake popupmenu,之后执行了shellcode。

图片[28]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

4.2.2 补丁调试

当系统打上微软漏洞补丁之后,执行到指定位置处。

这里要分出两种情况,执行出来的结果是不一样的。

第一种

通过命令行来进行执行。

图片[29]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

当执行到xxxMNFindWindowFromPoint函数并未执行时,eax的值为0xa1d37a94。

图片[30]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

但是之后执行完成这个call之后,函数的返回值却是0,在上面已经分析过这个函数的路程,当这个值为0的时候是不会走到漏洞函数中去的,所以这样自然不会成功,但是这就和这个漏洞无关了。具体出现这种情况的原因不明。

图片[31]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

第二种

直接双击程序进行运行。

还是到刚刚的那一步,这时的eax值为0xa1d97a94。

图片[32]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

之后进行下一步,这时eax的值就不为0了,也就是说过了那个不为0的验证了,也就是说现在的逻辑有可能走到我们的漏洞逻辑。

图片[33]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

经过调试,事实上也确实进入到了我们的漏洞逻辑,并且可以发现,后面有了微软增加的判断执行逻辑。

图片[34]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

之后继续向下调试,按理来说MS-PATCH会将漏洞拦下,但是exp把这个判断过了

图片[35]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

当MS-PATCH失效,exp将执行成功时,xxxMNHideNextHierarchy的逻辑里的一步有效性验证将exp拦下了

图片[36]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

对应的伪代码是这种形式,其中if判断将我们的exp拦下了。

图片[37]-Microsoft Windows Win32k本地提权漏洞分析 – 作者:深信服千里目安全实验室-安全小百科

这两种exp执行的方式都和微软的MS-PATCH思路相悖。

5 EXP流程

exp思路

1. 创建一个有弹出式菜单的正常主窗口

2. 在某个固定地址Addr1分配内存,并在Addr1上构造一个fake_tag WND。其中fake_tagWND->bServerSideWindowProc置为1,fake_tagWND->lpfnWndProc指向Ring0ShellCode。

3. 用Accelerator Table对象制作出内存空洞。

4. 创建类名为”#32768”的窗口MenuWindow1,并用SetWindowLong替换其WndProc。

5. 创建消息钩子,并在HookProc中处理MN_FINDWINDOWFROMPOINT消息和MN_SETTIMERTOOPENHIERARCHY消息。

6. 向主窗口发送WM_SYSCOMMAND消息或者模拟鼠标事件。

7. 系统创建的正常菜单窗口收到MN_FINDWINDOWFROMPOINT消息,返回MenuWindow1的句柄。

8. HookProc收到MN_SETTIMERTOOPENHIERARCHY消息,销毁MenuWindow1,并创建Accelerator Table对象占用tagPOPUPMENU释放的内存。

9. Fake_tagWND收到0x1E4消息,执行Ring0ShellCode。

参考链接

http://xlab.baidu.com/cve-2015-2546%ef%bc%9a%e4%bb%8e%e8%a1%a5%e4%b8%81%e6%af%94%e5%af%b9%e5%88%b0exploit/

https://www.anquanke.com/post/id/84911

深信服千里目安全实验室

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

来源:freebuf.com 2020-11-27 14:51:01 by: 深信服千里目安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论