Windows驱动程序暴整数溢出漏洞可致权限提升

科技 2024-11-30 09:57 山东

进网络安全行业群

微信公众号 计算机与网络安全

回复 行业群

一名独立研究员近期发现了Windows操作系统中ksthunk.sys驱动程序的严重漏洞，该驱动程序负责32位与64位进程间的通信，此漏洞允许攻击者通过整数溢出实现权限提升。该研究员近日在TyphoonPWN 2024大赛中演示了该漏洞的利用，斩获大赛第二名。

该漏洞存在于

CKSAutomationThunk::ThunkEnableEventIrp函数中，该函数用于在内核中分配缓冲区以处理输入和输出数据。然而，由于在缓冲区大小对齐计算时缺乏整数溢出的验证，导致分配的缓冲区尺寸不正确，进而触发堆内存溢出。

漏洞代码关键点如下：

// Only Called when the calling process is 32bit.__int64 __fastcall CKSAutomationThunk::ThunkEnableEventIrp(__int64 a1, PIRP a2, __int64 a3, int * a4) {        ...        inbuflen = CurrentStackLocation -> Parameters.DeviceIoControl.InputBufferLength;        outbuflen = CurrentStackLocation -> Parameters.DeviceIoControl.OutputBufferLength;        // [1]. Align the length of output buffer        outlen_adjust = (outbuflen + 0x17) & 0xFFFFFFF8;        if (a2 -> AssociatedIrp.MasterIrp)            return 1 i64;
        if ((unsigned int) inbuflen < 0x18)            ExRaiseStatus(-1073741306);
        ProbeForRead(CurrentStackLocation -> Parameters.DeviceIoControl.Type3InputBuffer, inbuflen, 1 u);        if (( * ((_DWORD * ) CurrentStackLocation -> Parameters.DeviceIoControl.Type3InputBuffer + 5) & 0xEFFFFFFF) == 1 ||            ( * ((_DWORD * ) CurrentStackLocation -> Parameters.DeviceIoControl.Type3InputBuffer + 5) & 0xEFFFFFFF) == 2 ||            ( * ((_DWORD * ) CurrentStackLocation -> Parameters.DeviceIoControl.Type3InputBuffer + 5) & 0xEFFFFFFF) == 4) {            // [2]. Validate the Length            if ((unsigned int) outbuflen < 0x10)                ExRaiseStatus(-1073741306);            if (outlen_adjust < (int) outbuflen + 16 || outlen_adjust + (unsigned int) inbuflen < outlen_adjust)                ExRaiseStatus(-1073741306);
            // [3]. Allocate the buffer to store the data            // 0x61 == POOL_FLAG_USE_QUOTA | POOL_FLAG_RAISE_ON_FAILURE POOL_FLAG_NON_PAGED            a2 -> AssociatedIrp.MasterIrp = (struct _IRP * ) ExAllocatePool2(                0x61 i64,                outlen_adjust + (unsigned int) inbuflen,                1886409547 i64);            a2 -> Flags |= 0x30 u;            ProbeForRead(a2 -> UserBuffer, outbuflen, 1 u); // [*]             data = (__int64) a2 -> AssociatedIrp.MasterIrp;            ...            // [4]. Copy the Data            if ((unsigned int) outbuflen > 0x10)                memmove((void * )(data + 0x20), (char * ) a2 -> UserBuffer + 16, outbuflen - 16);            memmove(                (char * ) a2 -> AssociatedIrp.MasterIrp + outlen_adjust,                CurrentStackLocation -> Parameters.FileSystemControl.Type3InputBuffer,                inbuflen);            ...        }

SSD Secure Disclosure技术团队指出：

在代码片段[1]处，outlen_adjust的计算缺乏整数溢出验证，这可能导致分配过小的缓冲区。

在[4]处，当数据被复制到不正确的内存位置时，会触发堆内存溢出，最终导致内核内存损坏并允许进一步利用。

研究员展示了一种详细的利用方法，通过以下步骤实现权限提升：

内存操控：在内核非分页池中创建间隔，以便利用溢出攻击命名管道对象。

任意内存访问：通过破坏邻近内存对象（如命名管道），获取任意读写权限。

令牌覆盖：修改当前进程的令牌，将权限提升为SYSTEM，从而完全控制目标机器。

微软已收到该漏洞的通知，但回应称这是一个已经被修复的重复问题。然而，研究员在Windows 11 23H2中发现漏洞仍可利用。至今，微软尚未分配CVE编号，也未提供详细的修复信息。

内核级漏洞的存在为高级威胁行为者提供了便捷的攻击途径。该漏洞通过对分配缓冲区大小的精确操控，加上容易利用的内存破坏特性，攻击难度相对较低，适合作为后续攻击链中的关键环节。

专家建议，开发者在内核代码中应严格执行整数溢出的验证，特别是在内存分配和使用时，确保分配大小的安全性。系统管理员则需限制驱动访问，仅允许经过验证的驱动加载，以减少潜在的攻击面。此外，企业和个人用户应部署安全工具实时监控内核异常行为，并及时应用系统更新和补丁，以最大程度降低漏洞被利用的风险。面对权限提升漏洞的威胁，这些防护措施将是保护系统安全的关键环节。

更多技术细节及漏洞利用的PoC代码可参见SSD Secure Disclosure的官方公告。

| 来源：安全客

http://mp.weixin.qq.com/s?__biz=MjM5OTk4MDE2MA==&mid=2655260600&idx=2&sn=d45fcadd0c225f99fa9553f8b67beeb0

计算机与网络安全

帮助网络安全从业者学习与成长

2025年高级威胁预测

Windows驱动程序暴整数溢出漏洞可致权限提升

内生安全自主知识体系建设蓝皮书（2024年）

城市一张网安全可信技术

资料列表下载 | 无线内生安全技术2.0蓝皮书（2024年）

资料列表下载 | 6G核心网智能韧性体系构想蓝皮书（2024年）

文末扫码下载 | 网络安全战略与技术发展趋势蓝皮书（2024年）

文末扫码下载 | 人工智能应用系统内生安全蓝皮书（2024年）

一种新的网络钓鱼威胁；3万个暴露API和10万个漏洞挑战；CISA 红队评估

大模型安全漏洞报告（2024）

关于等保测评服务认证证书注销的公告

人民日报：提升生成式人工智能三大风险治理能力，守护好人工智能时代的隐私安全，探索人工智能体的模块化治理框架

2023年最常被利用的漏洞（文末附下载）

人工智能行业研究报告（文末附下载）

GB∕T 44774-2024 汽车信息安全应急响应管理规范（文末附下载方式）

释放数据应用潜力：40家单位参与，公共数据授权运营合规标准，欢迎参编！

加强网络空间法治建设：坚持依法治网推进网络综合治理，提升依法治网效能需要强化平台监管，适应网络空间技术特征有效捍卫我国网络主权

数字孪生网络架构

中英文下载 | 确保人工智能时代的关键基础设施安全

参与赠书 |《先进云安全研究与实践》新书发布

数字政府建设服务评价规范框架数字政府建设服务指标评价表

企业数字化转型总体框架

智算产业发展研究报告（2024年）

⼤数据产业发展现状与趋势

五大场景网络安全威胁应对措施

中文大模型使用手册

数字化转型典型案例集

红队行动-纵深防御的必要性

CISSP考试经验分享（全流程详解）

OWASP发布《人工智能安全卓越中心指南》【附中英文下载】

OpenAI发布《GPT-4o安全技术报告》【附中英文下载】

OWASP发布《人工智能安全解决方案指南》【附中英文下载】

基于 SIM 卡的数字身份认证技术架构

OWASP发布《深度伪造事件响应指南》【附中英文下载】

C2M2 和 CMMC

数字政府运维

Gartner发布2025年十大战略技术趋势

300页网络安全供应链风险管理实践（2024.11更新）

文件下载指南

OpenAI正式发布ChatGPT网络搜索

数字化转型成熟度模型

2024年网络安全最佳实践

人工智能风险管理

开源供应链技术风险

政务大模型安全治理框架

工业和信息化部通信工程建设领域行政处罚事项裁量权基准

2024年网络安全威胁与防御

工业网络安全态势感知框架

非法获取企业员工个人信息被抓，后悔还来得及吗？

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉