又捕获到一个0day!安恒威胁情报中心再次发力,漏洞可影响最新版WIN10
点击蓝字
关注我们
安恒威胁情报中心
又捕获到一个0day!安恒威胁情报中心再次发力,漏洞可影响最新版WIN10
- by 猎影实验室 -
No.1事件背景
2021年2月,安恒信息威胁情报中心猎影实验室曾经协助微软修复一个影响最新版Windows10系统的内核提权漏洞,该漏洞编号为CVE-2021-1732,相关事件我们已经在《0DAY攻击!首次发现蔓灵花组织在针对国内的攻击活动中使用WINDOWS内核提权0DAY漏洞(CVE-2021-1732)》(文末点击阅读原文可查看)这篇文章中进行披露。
2021年5月,猎影实验室在日常高级威胁监测过程中再次发现一个影响最新版Windows10系统的提权漏洞,发现该漏洞后,猎影实验室在第一时间将其报告给了MSRC。经过MSRC的确认,我们确信这是一个dwmcore.dll模块的0Day漏洞,在最新版本的Windows10 21H1全补丁环境下也能触发。
时间线如下:
2021年 5月22日
安恒威胁情报中心捕获到相关样本,并启动根因调查;
2021年 5月22日
安恒威胁情报中心将漏洞信息报告给MSRC;
2021年 5月22日
MSRC确认收到漏洞报告;
2021年 5月25日
安恒威胁情报中心向MSRC提供该0Day漏洞的更多细节;
2021年 5月28日
MSRC确认该漏洞是一个0Day,并开始调查;
2021年 5月29日
MSRC就安恒威胁情报中心提供的更多细节表示感谢,并表示漏洞已在修复中;
2021年 6月9日
MSRC修复该漏洞,漏洞编号为CVE-2021-33739;
No.2漏洞分析
该漏洞是一个由dwmcore.dll模块中CinteractionTrackerBindingManager对象引用计数不平衡引发的UAF漏洞。在具体的触发逻辑上和CVE-2021-26900漏洞存在一些相似之处。该漏洞只影响Windows 10,不影响Windows 8.1及以下系统。
为了触发这个漏洞,我们只需要在代码层面创建一个CinteractionTrackerBindingManagerMarshaler(0x59)资源和和一个CinteractionTrackerMarshaler(0x58)资源,并将同一个CinteractionTrackerMarshaler资源同时作为resource1_id和resource2_id绑定到CinteractionTrackerBindingManagerMarshaler,并且不手动释放CinteractionTrackerMarshaler资源,像这样:
▲图1:触发漏洞的代码
在正常情况下(如果resource1_id和resource2_id是两个不相同的CinteractionTrackerMarshaler资源),在dwmcore.dll的代码逻辑中,CinteractionTrackerBindingManager对象的引用计数会像如下输出日志这样变化,它会调用CInteractionTrackerBindingManager::ProcessSetTrackerBindingMode函数2次,以将CinteractionTrackerBindingManager对象的引用计数加2。随后,代码会调用CInteractionTrackerBindingManager::RemoveTrackerBindings函数两次,以减去2次引用计数,最终在引用计数变为0时正常释放CinteractionTrackerBindingManager对象。
▲图2:正常情况下这里引用计数增加2次
▲图3:正常情况下,调用RemoveTrackerBindings两次后,引用计数才减到0
在漏洞场景下,CinteractionTrackerBindingManager对象的引用计数变化会和正常情况下不一致,代码只会调用CInteractionTrackerBindingManager::ProcessSetTrackerBindingMode函数1次,所以CinteractionTrackerBindingManager对象的引用计数在此处只会被加1。然而,在随后的逻辑中,代码仍然会调用CInteractionTrackerBindingManager::RemoveTrackerBindings函数2次,在第一次调用CInteractionTrackerBindingManager::RemoveTrackerBindings函数后,CinteractionTrackerBindingManager对象的引用计数就已经变为了0,这导致CinteractionTrackerBindingManager对象自动调用其资源释放函数CMILCOMBase::InternalRelease将其自身内存释放。随后,在第二次调用CInteractionTrackerBindingManager::RemoveTrackerBindings函数时,代码又试图去访问被释放的CinteractionTrackerBindingManager对象,造成UAF。
▲图4:漏洞场景下,只调用1次ProcessSetTrackerBindingMode函数,引用计数只增加到2,正常情况下这里应该增加到3
▲图5:漏洞场景下,第1次调用RemoveTrackerBindings,此时引用计数已经变为0
▲图6:漏洞场景下,引用计数变为0后调用析构函数释放CInteractionTrackerBindingManager对象
▲图7:漏洞场景下,第2次调用RemoveTrackerBindings函数时,代码尝试访问被释放的CInteractionTrackerBindingManager对象,造成UAF
No.3思考总结
此次捕获的漏洞属于WindowsDirectComposition组件的范畴。2017年,360的安全研究员在Cansecwest2017会议发表了题为《Win32k Dark Composition:Attacking the Shadow Part of Graphic Subsystem》的演讲,从此该组件的漏洞开始进入广大安全研究员的视野。
近两年来,WindowsDirectComposition组件又连续被曝出提权漏洞,包括CVE-2020-1381、CVE-2020-1382、CVE-2020-17057、CVE-2021-26900和CVE-2021-28310。其中CVE-2020-1382漏洞是Pwn2Own 2020比赛上所使用的漏洞,而CVE-2021-28310是卡巴斯基在今年2月份追踪CVE-2021-1732背后的组织时捕获的一个在野零日漏洞,这些都证明当前有较多安全研究员和黑客组织盯着这个组件。
可以预见的是,WindowsDirectComposition组件内还存在着一些未被发现的提权漏洞,该组件后续很可能还有类似漏洞被曝光,请大家提高警惕。
No.4防范建议
升级安恒APT攻击预警平台以及明御主机安全及管理系统EDR到最新版本可进行检测。
安恒APT攻击预警平台能够发现已知或未知威胁,平台能实时监控、捕获和分析恶意文件或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。同时,平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等,对网络流量进行深度分析。检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。
安恒明御主机安全及管理系统是一款集成了丰富的系统加固与防护、网络加固与防护等功能的主机安全产品。业界独有的高级威胁模块,专门应对攻防对抗场景;明御主机安全及管理系统通过自主研发的专利级文件诱饵引擎,有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。目前产品广泛应用在服务器、桌面PC、虚拟机、工控系统、容器安全、攻防对抗等各个场景。
招聘 信息
岗位:二进制安全研究员
岗位职责:
* 针对海量威胁数据的挖掘,寻找APT攻击事件;
* 负责热门的安全事件、最新漏洞的分析,编写响应的分析报告;
* 研究新的检测方法,完善产品的检测能力;
* 协助内部威胁分析平台建设等。
任职要求:
* 熟悉windows、Linux等平台调试手段,熟练使用逆向分析工具(如:IDA、WinDbg、OllyDbg等);
* 熟悉C/C++、汇编语言,至少熟悉一门脚本编程语言,能快速完成POC代码编写;
* 熟悉病毒、木马通信原理和常用技术以及常见加密算法等;
* 了解二进制安全漏洞原理,具备独立漏洞分析能力;
* 了解yara、snort等类似策略编写;
* 具备大数据挖掘能力,能够快速对数据进行关联分析;
* 思路清晰,善于主动思考,有创新、能独立分析和解决问题,具有良好的沟通能力和团队合作精神。
加分项:
* 具有信息安全公司实习、从业经验;
* 熟悉APT攻击攻防、威胁狩猎,具备Sandbox开发、杀软类绕过研究、加壳工具开发经验;
* 具备多平台恶意代码分析经验(Linux、Android、macOS等);
* 有二进制相关漏洞CVE编号;
* 熟悉Web攻防,了解红蓝对抗相关工具使用以及内部原理,有渗透相关经验;
* 具备机器学习的相关实战经验。
投递邮箱:
xiaoyi.tu@dbappsecurity.com.cn
安恒信息威胁情报中心
情报云脑.智能安全
平台地址:https://ti.dbappsecurity.com.cn/