Kerentanan sistem Windows Microsoft dapat menyebabkan risiko keamanan Web3
Pembaruan keamanan yang dirilis Microsoft bulan lalu menyertakan kerentanan eskalasi hak akses win32k yang sedang dieksploitasi. Kerentanan ini tampaknya hanya ada di versi awal sistem Windows dan tidak dapat dipicu di Windows 11.
Eksploitasi kerentanan semacam ini sudah ada sejak lama. Dalam konteks perbaikan keamanan yang terus berkembang, kami berharap untuk menganalisis bagaimana penyerang mungkin terus mengeksploitasi kerentanan ini. Proses analisis dalam artikel ini dilakukan di lingkungan Windows Server 2016.
Kerentanan zero-day ini tidak dipublikasikan dan diperbaiki, dapat dieksploitasi oleh pihak jahat tanpa terdeteksi, dan memiliki potensi yang sangat merusak. Melalui kerentanan ini, hacker dapat mendapatkan kontrol penuh atas sistem Windows. Ini dapat mengakibatkan pencurian informasi pribadi, keruntuhan sistem, kehilangan data, kerugian finansial, penyisipan malware, dan konsekuensi serius lainnya. Bagi pengguna Web3, kunci pribadi dapat dicuri, dan aset digital dapat dipindahkan. Dari sudut pandang yang lebih luas, kerentanan ini bahkan dapat mempengaruhi seluruh ekosistem Web3 yang berjalan di infrastruktur berbasis Web2.
Dengan menganalisis patch, kami menemukan bahwa masalahnya terletak pada penghitungan referensi objek yang diproses lebih dari satu kali. win32k adalah kode yang lebih lama, komentar sumber awal menunjukkan bahwa kode sebelumnya hanya mengunci objek jendela, tanpa mengunci objek menu di dalam objek jendela, yang dapat menyebabkan objek menu direferensikan secara salah.
Saat melakukan bukti konsep ( PoC ), kami menemukan bahwa menu yang masuk ke xxxEnableMenuItem ( biasanya telah dikunci di fungsi tingkat atas, tidak jelas menu objek mana yang harus dilindungi di sini. Analisis lebih lanjut menunjukkan bahwa menu yang dikembalikan oleh fungsi MenuItemState mungkin adalah menu utama jendela, atau submenu, bahkan submenu dari submenu.
Untuk memicu kerentanan, kami membangun struktur menu berlapis empat yang khusus, dan menetapkan beberapa kondisi tertentu untuk melewati deteksi fungsi xxxEnableMenuItem. Ketika xxxRedrawTitle mengembalikan lapisan pengguna, kami menghapus hubungan referensi antara menu C dan B, berhasil membebaskan menu C. Akhirnya, ketika fungsi xxxEnableMenuItem kembali ke xxxRedrawTitle, objek menu C yang akan direferensikan sudah tidak valid.
![Numen Eksklusif: Kerentanan 0day Microsoft Dapat Mengguncang Permainan Web3 Secara Sistematis+Fisik])https://img-cdn.gateio.im/webp-social/moments-171ea7cb7c6f7190c3f49a2b914eed04.webp(
Saat mengembangkan eksploitasi )Exp(, kami terutama mempertimbangkan dua skema: mengeksekusi shellcode dan memanfaatkan primitif baca/tulis untuk memodifikasi alamat token. Mengingat kelayakan, kami memilih yang terakhir. Seluruh proses eksploitasi dapat dibagi menjadi dua langkah: bagaimana memanfaatkan kerentanan UAF untuk mengontrol nilai cbwndextra, dan bagaimana mencapai primitif baca/tulis yang stabil.
![Numen Eksklusif: Kerentanan 0day Microsoft dapat membongkar permainan Web3 di level sistem + fisik])https://img-cdn.gateio.im/webp-social/moments-66af34ab04bec21e27be99bbe29c552a.webp(
Kami merancang tata letak memori dengan cermat, menggunakan objek nama jendela dalam kelas jendela WNDClass untuk mengambil objek menu yang telah dibebaskan. Melalui operasi tertentu dalam fungsi xxxRedrawWindow, kami berhasil melakukan penulisan data pertama.
![Numen Eksklusif: Kerentanan 0day Microsoft dapat mengguncang papan permainan Web3 secara sistematik dan fisik])https://img-cdn.gateio.im/webp-social/moments-1cc94ddafacec491507491eef9195858.webp(
Untuk mencapai tata letak memori yang stabil, kami merancang tiga objek HWND yang berurutan, melepaskan objek tengah dan menggunakan objek HWNDClass untuk mengambil alih. Objek HWND di depan dan belakang digunakan untuk memverifikasi dan mewujudkan primitif baca-tulis. Kami juga menentukan dengan tepat urutan objek apakah sesuai dengan yang diharapkan melalui kebocoran alamat handle kernel.
![Numen Eksklusif: Kerentanan 0day Microsoft dapat mengungkap sistem + lapisan fisik dalam permainan Web3])https://img-cdn.gateio.im/webp-social/moments-697c5814db02534f63b44c0d1d692f83.webp(
Dalam implementasi membaca dan menulis primitif, kami menggunakan GetMenuBarInfo)( untuk membaca sembarangan, SetClassLongPtr)( untuk menulis sembarangan. Selain operasi penggantian TOKEN, semua penulisan lainnya memanfaatkan objek kelas dari objek jendela pertama melalui offset.
![Numen Eksklusif: Kerentanan 0day Microsoft dapat mengubah permainan Web3 di tingkat sistem + fisik])https://img-cdn.gateio.im/webp-social/moments-b0942592135ac96c6279544a62022329.webp(
Meskipun kerentanan win32k sudah ada sejak lama, Microsoft sedang mencoba untuk merestrukturisasi kode inti yang terkait menggunakan Rust, sehingga di masa depan kerentanan semacam itu mungkin dapat dihindari dalam sistem baru. Proses pemanfaatan kerentanan ini relatif sederhana, dengan tantangan utama terletak pada bagaimana mengontrol penulisan pertama. Kerentanan ini sangat bergantung pada kebocoran alamat pegangan tumpukan desktop, yang masih menjadi risiko keamanan pada sistem lama.
Kami menduga bahwa penemuan kerentanan ini mungkin disebabkan oleh deteksi cakupan kode yang lebih baik. Untuk deteksi eksploitasi kerentanan, selain memantau titik-titik kunci, deteksi yang tepat terhadap tata letak memori yang tidak biasa dan pembacaan serta penulisan data jendela juga dapat membantu menemukan kerentanan semacam ini.
![Numen Eksklusif: Kerentanan 0day Microsoft dapat mengguncang permainan Web3 pada tingkat sistem + fisik])https://img-cdn.gateio.im/webp-social/moments-b06b098af4f07260fdc03a75da160706.webp(
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Kelemahan sistem Windows mengancam keamanan aset Web3, Kunci Pribadi mungkin dicuri.
Kerentanan sistem Windows Microsoft dapat menyebabkan risiko keamanan Web3
Pembaruan keamanan yang dirilis Microsoft bulan lalu menyertakan kerentanan eskalasi hak akses win32k yang sedang dieksploitasi. Kerentanan ini tampaknya hanya ada di versi awal sistem Windows dan tidak dapat dipicu di Windows 11.
Eksploitasi kerentanan semacam ini sudah ada sejak lama. Dalam konteks perbaikan keamanan yang terus berkembang, kami berharap untuk menganalisis bagaimana penyerang mungkin terus mengeksploitasi kerentanan ini. Proses analisis dalam artikel ini dilakukan di lingkungan Windows Server 2016.
Kerentanan zero-day ini tidak dipublikasikan dan diperbaiki, dapat dieksploitasi oleh pihak jahat tanpa terdeteksi, dan memiliki potensi yang sangat merusak. Melalui kerentanan ini, hacker dapat mendapatkan kontrol penuh atas sistem Windows. Ini dapat mengakibatkan pencurian informasi pribadi, keruntuhan sistem, kehilangan data, kerugian finansial, penyisipan malware, dan konsekuensi serius lainnya. Bagi pengguna Web3, kunci pribadi dapat dicuri, dan aset digital dapat dipindahkan. Dari sudut pandang yang lebih luas, kerentanan ini bahkan dapat mempengaruhi seluruh ekosistem Web3 yang berjalan di infrastruktur berbasis Web2.
Dengan menganalisis patch, kami menemukan bahwa masalahnya terletak pada penghitungan referensi objek yang diproses lebih dari satu kali. win32k adalah kode yang lebih lama, komentar sumber awal menunjukkan bahwa kode sebelumnya hanya mengunci objek jendela, tanpa mengunci objek menu di dalam objek jendela, yang dapat menyebabkan objek menu direferensikan secara salah.
Saat melakukan bukti konsep ( PoC ), kami menemukan bahwa menu yang masuk ke xxxEnableMenuItem ( biasanya telah dikunci di fungsi tingkat atas, tidak jelas menu objek mana yang harus dilindungi di sini. Analisis lebih lanjut menunjukkan bahwa menu yang dikembalikan oleh fungsi MenuItemState mungkin adalah menu utama jendela, atau submenu, bahkan submenu dari submenu.
Untuk memicu kerentanan, kami membangun struktur menu berlapis empat yang khusus, dan menetapkan beberapa kondisi tertentu untuk melewati deteksi fungsi xxxEnableMenuItem. Ketika xxxRedrawTitle mengembalikan lapisan pengguna, kami menghapus hubungan referensi antara menu C dan B, berhasil membebaskan menu C. Akhirnya, ketika fungsi xxxEnableMenuItem kembali ke xxxRedrawTitle, objek menu C yang akan direferensikan sudah tidak valid.
![Numen Eksklusif: Kerentanan 0day Microsoft Dapat Mengguncang Permainan Web3 Secara Sistematis+Fisik])https://img-cdn.gateio.im/webp-social/moments-171ea7cb7c6f7190c3f49a2b914eed04.webp(
Saat mengembangkan eksploitasi )Exp(, kami terutama mempertimbangkan dua skema: mengeksekusi shellcode dan memanfaatkan primitif baca/tulis untuk memodifikasi alamat token. Mengingat kelayakan, kami memilih yang terakhir. Seluruh proses eksploitasi dapat dibagi menjadi dua langkah: bagaimana memanfaatkan kerentanan UAF untuk mengontrol nilai cbwndextra, dan bagaimana mencapai primitif baca/tulis yang stabil.
![Numen Eksklusif: Kerentanan 0day Microsoft dapat membongkar permainan Web3 di level sistem + fisik])https://img-cdn.gateio.im/webp-social/moments-66af34ab04bec21e27be99bbe29c552a.webp(
Kami merancang tata letak memori dengan cermat, menggunakan objek nama jendela dalam kelas jendela WNDClass untuk mengambil objek menu yang telah dibebaskan. Melalui operasi tertentu dalam fungsi xxxRedrawWindow, kami berhasil melakukan penulisan data pertama.
![Numen Eksklusif: Kerentanan 0day Microsoft dapat mengguncang papan permainan Web3 secara sistematik dan fisik])https://img-cdn.gateio.im/webp-social/moments-1cc94ddafacec491507491eef9195858.webp(
Untuk mencapai tata letak memori yang stabil, kami merancang tiga objek HWND yang berurutan, melepaskan objek tengah dan menggunakan objek HWNDClass untuk mengambil alih. Objek HWND di depan dan belakang digunakan untuk memverifikasi dan mewujudkan primitif baca-tulis. Kami juga menentukan dengan tepat urutan objek apakah sesuai dengan yang diharapkan melalui kebocoran alamat handle kernel.
![Numen Eksklusif: Kerentanan 0day Microsoft dapat mengungkap sistem + lapisan fisik dalam permainan Web3])https://img-cdn.gateio.im/webp-social/moments-697c5814db02534f63b44c0d1d692f83.webp(
Dalam implementasi membaca dan menulis primitif, kami menggunakan GetMenuBarInfo)( untuk membaca sembarangan, SetClassLongPtr)( untuk menulis sembarangan. Selain operasi penggantian TOKEN, semua penulisan lainnya memanfaatkan objek kelas dari objek jendela pertama melalui offset.
![Numen Eksklusif: Kerentanan 0day Microsoft dapat mengubah permainan Web3 di tingkat sistem + fisik])https://img-cdn.gateio.im/webp-social/moments-b0942592135ac96c6279544a62022329.webp(
Meskipun kerentanan win32k sudah ada sejak lama, Microsoft sedang mencoba untuk merestrukturisasi kode inti yang terkait menggunakan Rust, sehingga di masa depan kerentanan semacam itu mungkin dapat dihindari dalam sistem baru. Proses pemanfaatan kerentanan ini relatif sederhana, dengan tantangan utama terletak pada bagaimana mengontrol penulisan pertama. Kerentanan ini sangat bergantung pada kebocoran alamat pegangan tumpukan desktop, yang masih menjadi risiko keamanan pada sistem lama.
Kami menduga bahwa penemuan kerentanan ini mungkin disebabkan oleh deteksi cakupan kode yang lebih baik. Untuk deteksi eksploitasi kerentanan, selain memantau titik-titik kunci, deteksi yang tepat terhadap tata letak memori yang tidak biasa dan pembacaan serta penulisan data jendela juga dapat membantu menemukan kerentanan semacam ini.
![Numen Eksklusif: Kerentanan 0day Microsoft dapat mengguncang permainan Web3 pada tingkat sistem + fisik])https://img-cdn.gateio.im/webp-social/moments-b06b098af4f07260fdc03a75da160706.webp(