攻击者经常利用已知的权限提升漏洞获得管理员级别的访问,而黑客直接利用0day漏洞进行攻击是非常罕见的。近日CrowdStrike团队监测到了Win64bit2008 R2计算机上存在可疑的活动。CrowdStrike认为:这些计算机极有可能受到飓风熊猫(HURRICANE PANDA)的控制。
Win32k.sys中负责窗口管理,以及任何GUI进程/线程将使用它。与其相关的用户模式模块user32.dll和GDI32.DLL。
由于与用户模式应用程序的复杂相互作用,许多问题存在Win32k.sys中。根本的问题是函数的返回值不正确验证。程序员往往忽略这一点,但这样做,是一个严重的安全隐患。在Win32k.sys中,有一个叫做函数xxxMNFindWindowFromPoint(),它返回win32k!tagWND的地址结构或错误代码-1,-5。
另一个功能xxxHandleMenuMessages()将调用它,并用它的返回值作为参数xxxSendMessage()。
下面是关于如何利用的关键步骤或说明:
示例使用SetWindowsHookEx函数()来控制xxxMNFindWindowFromPoint() 返回-5:
此外,样品的shellcode是简单和直接的,可以从下面的代码段可以看出。可以看到,它得到EPROCESS的系统进程(PID = 4) ,并复制其特权标识EPROCESS当前进程。
因为这是一个程序,而不是单纯的数据或脚本可以用来利用的漏洞。样本的代码基本为裸码,完全暴漏在外面。一旦这样的内核级利用方式被进行二次修改利用,完全可以破坏沙盒程序。甚至驱动出更多的内核级漏洞。
Windows 8和更高版本的风险较小,这是因为在内核模式的用户模式的内存页被称为管理模式执行保护(SMEP),这将阻止访问一个新的安全功能(读/写/执行)。因此,进入空页面,shell代码不会导致代码执行,可能会导致死机。
还没有评论,来说两句吧...