人民日报林治波社长发出灵魂拷问:你们是没有常识,还是没有良知?

惨烈的高峰防御战—“圣元春战役”打响!

母子乱伦:和儿子做了,我该怎么办?

一定在信仰的指导下抗击疫情《马克思主义信仰:战胜新冠肺炎疫情的内生力量》

伊朗著名美女明星、奥斯卡影后被捕!

生成图片,分享到微信朋友圈
自由微信安卓APP发布,立即下载! | 提交文章网址
查看原文

Windows UAF 漏洞CVE-2021-34486分析

信创安全实验室 山石网科安全技术研究院 2022-09-13
收录于合集
#windows漏洞 1 个
#漏洞 26 个


Windows事件跟踪 (ETW) 机制允许记录内核或应用程序定义的事件以进行调试。开发人员能够启动和停止事件跟踪会话,检测应用程序以提供跟踪事件,并通过调用 ETW 用户模式 Windows API 集来使用跟踪事件。最终的请求部分都是在内核 (ntoskrnl.exe) 模块中完成。由于该功能存在于ntoskrnl.exe,部分功能可以在沙箱中访问到,尤其受攻击者关注。


在EtwpUpdatePeriodicCaptureState 函数中,存在UAF漏洞,攻击者能够可控地分配一个 0x30 字节的缓冲区,释放它并随后重用该内存来执行任意代码。


我们可以通过NtTraceControl 系统调用来触发 EtwpUpdatePeriodicCaptureState 函数,输入的buffer结构如下:


typedef struct _ETW_UPDATE_PERIODIC_CAPTURE_STATE

{

  ULONG     LoggerId;

  ULONG     DueTime;    //system time units (100-nanosecond intervals)

  ULONG     NumOfGuids;

  GUID Guids[ANYSIZE_ARRAY];

} ETW_UPDATE_PERIODIC_CAPTURE_STATE, * PETW_UPDATE_PERIODIC_CAPTURE_STATE;


触发UAF需要3个步骤,下面我们具体来分析:


第一个请求中,ntoskrnl执行了这些操作,首先通过用户传入的id来获取相应的EtwpLoggerContext对象,同时回去验证用户传入的Guid数组是否具有0x80 访问权限。随后调用 ExAllocateTimer函数创建一个定时器,定时器超时的回调函数是PeriodicCaptureStateTimerCallback,回调函数的参数类型是_WORK_QUEUE_ITEM,你可以在msdn中找到具体定义,随后定时器被激活,等待超时时间到达后触发回调函数。


__int64 __fastcall EtwpUpdatePeriodicCaptureState(unsigned int LoggerId, unsigned int DueTime, unsigned __int16 NumOfGuids, GUID *Guids)

{

     ...

      // 如果没有定时器存在则直接创建定时器

      if ( !LoggerContext_->ExTimerObject )

      {

         TimerContextInfo = (CONTEXTINFO *)ExAllocatePoolWithTag(NonPagedPoolNx, 0x30ui64, 'UwtE'); // 创建回调函数参数,类型为_WORK_QUEUE_ITEM

         TimerContextInfo_ = TimerContextInfo;

         if ( !TimerContextInfo )

            goto RETURN_ERROR_C0000017;

 

         TimerContextInfo->LoggerId = LoggerId;//InBuff1.LoggerId

         TimerContextInfo->Unknown = v22;

         TimerContextInfo->WorkItem.WorkerRoutine = SendCaptureStateNotificationsWorker;   // worker的回调函数

         TimerContextInfo->WorkItem.Parameter = TimerContextInfo;         // worker回调函数的参数,也就是SendCaptureStateNotificationsWorker的参数

         TimerContextInfo->WorkItem.List.Flink = 0i64;

         LoggerContext_->ExTimerObject = ExAllocateTimer((PEXT_CALLBACK)PeriodicCaptureStateTimerCallback, TimerContextInfo, 8u); // 保存定时器

      }

 

      ExTimerObject = (PEX_TIMER)LoggerContext_->ExTimerObject;

      LoggerContext_->DueTime = 0xFFFFFFFFFF676980ui64 * DueTime;

      ExSetTimer((ULONG_PTR)ExTimerObject);     // 超时时间以秒计算,为负数

      LODWORD(LoggerContext_->ExTimerState) = 1;

      goto RETURN_1;

     ...

 

RETURN_1:

   if ( (_InterlockedExchangeAdd64(pLock, 0xFFFFFFFFFFFFFFFFui64) & 6) == 2 )

      ExfTryToWakePushLock(pLock);

   KeAbPostRelease((ULONG_PTR)pLock);

 

RETURN_2:

   EtwpReleaseLoggerContext(LoggerContext_, 0i64);

   return (unsigned int)res_EtwpCheckNotificationAccess;

}

最终在PeriodicCaptureStateTimerCallback函数中会去调用ExQueueWorkItem函数将_WORK_QUEUE_ITEM放入系统队列中,然后最后调用SendCaptureStateNotificationsWorker函数。

在第二个请求中,我们可以传入一些当前用户没有权限访问的Guid,这样就会触发如下流程:

__int64 __fastcall EtwpUpdatePeriodicCaptureState(unsigned int LoggerId, unsigned int DueTime, unsigned __int16 NumOfGuids, GUID *Guids)

 {

     ...

     {

        ...

 FREE_POOLS_AND_RESET:

        GuidsPool = (void *)LoggerContext_->GuidsPool;

        if ( GuidsPool )

        {

            ExFreePoolWithTag(GuidsPool, 0);

            LoggerContext->GuidsPool = 0i64;

            LOWORD(LoggerContext->NumOfGuids) = 0;

        }

     ...

     }

 

     if ( (_DWORD)NumOfGuids_ )

     {

        while ( 1 )  // 循环判断用户传入的guid是否具有访问权限,如果有一个不满足就进入FREE_POOLS_AND_RESET分支

        {

            res_EtwpCheckNotificationAccess = EtwpCheckNotificationAccess(

                                                &Guids[v4].Data1,

                                                (__int64)&LoggerContext_->field_0[0x124]);

            if ( res_EtwpCheckNotificationAccess < 0 )

               break;

            if ( ++v4 >= (int)NumOfGuids_ )

               goto ALL_GUIDS_HAVE_NOTIFICATION_ACCESS_OK;

        }

        res_EtwpCheckNotificationAccess = 0xC0000022;

        v8 = 0;

        goto FREE_POOLS_AND_RESET;

     }

 ALL_GUIDS_HAVE_NOTIFICATION_ACCESS_OK:

     ...

 }



void __fastcall SendCaptureStateNotificationsWorker(CONTEXTINFO *TimerContextInfo)

{

   ...

   if ( TimerContextInfo )

   {

     LoggerContext = (LOGGERCONTEXT *)EtwpAcquireLoggerContextByLoggerId(

                                     TimerContextInfo->Unknown,

                                     LOWORD(TimerContextInfo->LoggerId),

                                     0);

     if ( LoggerContext )

     {

        pLock = &LoggerContext->Lock;

        ExAcquirePushLockExclusiveEx((ULONG_PTR)&LoggerContext->Lock, 0i64);

        LODWORD(LoggerContext__->ExTimerState) = 0;

        if ( *(_DWORD *)&LoggerContext__->field_0[336] )

        {

            // 在第二个请求中我们已经将这个数量设置为空,所以后面会进入LABEL_31分支

            NumOfGuids = LOWORD(LoggerContext__->NumOfGuids);

 

            if ( (_WORD)NumOfGuids )

            {

            ...

                if ( (int)EtwpBuildNotificationPacket(v10, v23, v15, &v19) >= 0 )

                {

                     EtwpSendDataBlock(v12, v19);

                     EtwpUnreferenceDataBlock(v19);

                }

                ...

                if ( LOWORD(LoggerContext__->NumOfGuids) && !LODWORD(LoggerContext__->ExTimerState) )

                {

                   ExSetTimer(LoggerContext__->ExTimer);

                   LODWORD(LoggerContext__->ExTimerState) = 1;

                   v2 = 1;

                }

                ...

            ...

            }

        }

 

        if ( (_InterlockedExchangeAdd64(pLock, 0xFFFFFFFFFFFFFFFFui64) & 6) == 2 )

            ExfTryToWakePushLock(pLock);

        KeAbPostRelease((ULONG_PTR)pLock);

        EtwpReleaseLoggerContext(LoggerContext__, 0i64);

        if ( v2 )          // 这里没有进入上面分支所以不会设置为0

            return;

        goto LABEL_31;     // 

     }

   }

   // 最终释放了之前的WORK_QUEUE_ITEM参数

LABEL_31:

   ExFreePoolWithTag(TimerContextInfo, 0);

}

 


在我们第一步的syscall创建的定时器超时前,在第二个syscall调用操作中我们将LoggerContext->NumOfGuids 设置为0,导致回调函数超时的时候释放了WORK_QUEUE_ITEM 。


在第三步的操作中,我们还需要再次重复第一步的操作,由于定时器已经存在,在判断LoggerContext_->ExTimerObject 不为空后,不会再创建WORK_QUEUE_ITEM对象了,所以之前第一步创建的参数仍然还会被再次使用,而这个时候其实回调函数的参数已经是一个被释放的内存了,不应该被再次引用,后面的一系列操作就会导致UAF的发生。



  • 漏洞修复

这个漏洞可以认为是设计不当而导致的,一开始以为是定时器使用不当导致的,但是看过分析后发现没有那么简单,大概率是开发人员对定时器的操作编程理解不够透彻,在传入定时器超时的参数中不应该使用一个生命周期不明确的对象,必须对此类对象的使用格外的小心,猜测修复的逻辑中也要对这里的逻辑进行重新设计,后来看了修复的代码也差不多能验证自己的猜想,看看修复后的代码,我们可以看到传入定时器回调函数的参数都发生了变化,变成了LoggerContext,没有传递CallbackContext,这样这个对象就不会存在释放后重用了,同时也没有再对LoggerContext->NumOfGuids进行操作:


__int64 __fastcall EtwpUpdatePeriodicCaptureState(unsigned int LoggerId, unsigned int DueTime, unsigned __int16 NumOfGuids, GUID *Guids)

{

   ...

   ExAcquirePushLockExclusiveEx(EtwpLoggerContext1 + 688, 0i64);

   CallbackContext1 = *(_QWORD *)(EtwpLoggerContext1 + 1080);        // 取出之前创建的Context

   if ( CallbackContext1 )                                           // 如果存在了CallbackContext则进入

      goto LABEL_31;

   if ( !(_WORD)v4 )

   {

      LABEL_24:

      if ( (_InterlockedExchangeAdd64((volatile signed __int64 *)(EtwpLoggerContext1 + 688), 0xFFFFFFFFFFFFFFFFui64) & 6) == 2)

        ExfTryToWakePushLock(EtwpLoggerContext1 + 688);

      KeAbPostRelease(EtwpLoggerContext1 + 688);

      goto LABEL_27;

   }

 

   CallbackContext = ExAllocatePool2(64i64, 72i64, 0x55777445i64);

   // 设置LoggerContext+1080位置为创建的CallbackContext

   *(_QWORD *)(EtwpLoggerContext1 + 1080) = CallbackContext;

   CallbackContext1 = CallbackContext;

 

   ...

   Pool2 = (void *)ExAllocatePool2(256i64, 16 * v4, 0x55777445i64);

   *(_QWORD *)(CallbackContext1 + 24) = Pool2;

   if ( Pool2 )

   {

      *(_WORD *)(CallbackContext1 + 16) = v4;

      memmove(Pool2, (const void *)InputBuffer_kernel_C, 16 * v4);

      if ( !*(_QWORD *)(CallbackContext1 + 8) )

      {

         // 回调函数的参数变成了LoggerContext

         Timer = ExAllocateTimer((__int64)PeriodicCaptureStateTimerCallback, EtwpLoggerContext1, 8u);

         *(_QWORD *)(CallbackContext1 + 8) = Timer;

         if ( !Timer )

         {

            ExFreePoolWithTag(*(PVOID *)(CallbackContext1 + 24), 0);

            *(_QWORD *)(CallbackContext1 + 24) = 0i64;

            *(_WORD *)(CallbackContext1 + 16) = 0;

            goto LABEL_11;

         }

         *(_QWORD *)(CallbackContext1 + 56) = EtwpLoggerContext1;

         *(_QWORD *)(CallbackContext1 + 48) = SendCaptureStateNotificationsWorker;

         *(_QWORD *)(CallbackContext1 + 32) = 0i64;         // WORK_QUEUE_ITEM 的开始位置

      }

      *((_QWORD *)&v21 + 1) = 0xFFFFFFFFFFFFFFFFui64;

      v17 = *(_QWORD *)(CallbackContext1 + 8);

      v18 = 0xFFFFFFFFFF676980ui64 * a2;

      *(_QWORD *)CallbackContext1 = v18;

      ExSetTimer(v17, v18, 0i64, (__int64)&v21);

      *(_DWORD *)(CallbackContext1 + 64) = 1;

      goto LABEL_24;

   }

   ...

}

 

 

void __fastcall PeriodicCaptureStateTimerCallback(__int64 Timer, __int64 EtwpLoggerContext)

{

  if ( ExAcquireRundownProtectionCacheAwareEx(

         *(PEX_RUNDOWN_REF_CACHE_AWARE *)(*(_QWORD *)(*(_QWORD *)(EtwpLoggerContext + 1096) + 448i64)

                                        + 8i64 * *(unsigned int *)EtwpLoggerContext),

         1u) )

  {

    // EtwpLoggerContext + 1080 就是CallbackContext,+32位置就是WORK_QUEUE_ITEM 的开始位置

    ExQueueWorkItem((PWORK_QUEUE_ITEM)(*(_QWORD *)(EtwpLoggerContext + 1080) + 32i64), NormalWorkQueue);

  }

}


  • 参考链接

https://www.pixiepointsecurity.com/blog/advisory-cve-2021-34486.html


文章有问题?点此查看未经处理的缓存