CVE-2018-8453 Windows内核提权漏洞深入分析与利用<\/h1>

漏洞概述<\/h2>
CVE-2018-8453是卡巴斯基实验室在2018年8月发现的Windows提权0day漏洞，该漏洞存在于Windows窗口管理和图形设备接口组件(win32kfull.sys)中。攻击者可以利用此漏洞将低权限用户账户(users)提升至系统权限(system)。<\/p>
漏洞本质是一个Use-After-Free(UAF)问题，源于win32kfull!NtUserSetWindowFNID函数在设置窗口对象FNID时未能正确验证窗口对象是否已被释放，导致可以对已释放的窗口(FNID_FREED:0x8000)设置新的FNID。<\/p>

漏洞背景<\/h2>

窗口FNID机制<\/h3>

FNID(窗口功能标识符)是Windows内核用于标识窗口类型的内部机制：<\/p>

FNID_SCROLLBAR<\/code> (0x029A): 滚动条窗口<\/li>
FNID_BUTTON<\/code> (0x02A1): 按钮窗口<\/li>
FNID_DESTROY<\/code> (0x4000): 窗口销毁标记<\/li>
FNID_FREED<\/code> (0x8000): 窗口已释放标记<\/li> <\/ul> 相关内核函数<\/h3> NtUserSetWindowFNID<\/strong>: 用户态设置窗口FNID的系统调用<\/li> xxxDestroyWindow\/xxxFreeWindow<\/strong>: 窗口销毁相关函数<\/li> xxxSBTrackInit\/xxxSBTrackLoop<\/strong>: 滚动条跟踪相关函数<\/li> <\/ol> 漏洞详细分析<\/h2> 根本原因<\/h3> 漏洞的根本原因是win32kfull!NtUserSetWindowFNID<\/code>函数在设置窗口FNID时缺少对窗口是否正在被销毁的检查。补丁中新增了IsWindowBeingDestroyed<\/code>函数调用来修复此问题。<\/p> 漏洞触发条件<\/h3> 要成功修改窗口FNID需要满足以下条件之一：<\/p> FNID为空(刚创建的窗口)<\/li> FNID为用户注册窗口类产生的窗口(一直未设置FNID)<\/li> sysShadow窗口(用于阴影效果，FNID为空)<\/li> <\/ol> 漏洞利用关键点<\/h3> FNID修改限制<\/strong>:<\/p> 只能修改FNID为≤0x2A1的值<\/li> 或修改为>0x3FFF的值(0x4000或0x8000)<\/li> <\/ul> <\/li> 关键窗口消息<\/strong>:<\/p> WM_LBUTTONDOWN<\/code>: 触发滚动条跟踪<\/li> WM_NCDESTROY<\/code>: 窗口销毁前最后消息<\/li> WM_CANCELMODE<\/code>: 取消滚动条跟踪<\/li> <\/ul> <\/li> 关键回调函数<\/strong>:<\/p> __fnDWORD<\/code>: 用于窗口销毁回调<\/li> __xxxClientFreeWindowClassExtraBytes<\/code>: 用于释放窗口额外类数据<\/li> <\/ul> <\/li> <\/ol> 漏洞利用流程<\/h2> 完整的漏洞利用过程可分为以下步骤：<\/p> Hook设置<\/strong>:<\/p> Hook KernelCallbackTable<\/code>中的两个回调： user32!__fnDWORD<\/code><\/li> user32!__xxxClientFreeWindowClassExtraBytes<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> 窗口创建<\/strong>:<\/p> 注册窗口类，设置WNDCLASSEXW.cbWndExtra=4<\/code><\/li> 创建主窗口作为父窗口<\/li> 创建滚动条窗口(ScrollBar)<\/li> <\/ul> <\/li> 触发滚动条跟踪<\/strong>:<\/p> 发送WM_LBUTTONDOWN<\/code>消息<\/li> 系统调用xxxSBTrackInit<\/code>初始化SBTrack<\/code>结构<\/li> 进入xxxSBTrackLoop<\/code>处理鼠标消息<\/li> <\/ul> <\/li> 窗口销毁阶段<\/strong>:<\/p> 在fnDWORD_hook<\/code>中调用DestroyWindow<\/code>销毁主窗口<\/li> 触发xxxFreeWindow<\/code>函数执行<\/li> 设置FNID为0x4000<\/code>(销毁标记)<\/li> 设置FNID为0x8000<\/code>(释放标记)<\/li> <\/ul> <\/li> FNID修改<\/strong>:<\/p> 通过xxxClientFreeWindowClassExtraBytes<\/code>回调进入hook函数<\/li> 在hook中调用NtUserSetWindowFNID<\/code>修改FNID为0x82A1<\/code><\/li> <\/ul> <\/li> UAF触发<\/strong>:<\/p> 创建新窗口并调用SetCapture<\/code>设置捕获窗口<\/li> 主窗口引用计数归零，彻底释放窗口对象<\/li> 再次进入xxxFreeWindow<\/code>，此时FNID为0x82A2<\/code><\/li> 通过SfnDWORD<\/code>回调进入hook函数<\/li> <\/ul> <\/li> 双重释放<\/strong>:<\/p> 在hook中调用SendMessage(g_hSBWNDNew, WM_CANCELMODE)<\/code><\/li> 触发xxxEndScroll<\/code>释放pSBTrack<\/code><\/li> 流程返回内核后xxxSBTrackInit<\/code>再次释放SBTrack<\/code><\/li> 造成SBTrack<\/code>结构的双重释放<\/li> <\/ul> <\/li> <\/ol> 技术细节补充<\/h2> WNDCLASSEX结构关键成员<\/h3> typedef<\/span> struct<\/span> tagWNDCLASSEXW { <\/span><\/span> UINT cbSize; <\/span><\/span> \/* ... 其他成员 ... *\/<\/span> <\/span><\/span> int<\/span> cbWndExtra; \/\/ 窗口额外数据大小，必须>0才能触发回调 <\/span><\/span><\/span><\/span>} WNDCLASSEXW; <\/span><\/span><\/code><\/pre>SBTrack结构<\/h3> SBTrack<\/code>结构由xxxSBTrackInit<\/code>分配，用于跟踪滚动条状态：<\/p> 包含滚动条窗口和通知窗口指针<\/li> 设置当前窗口为捕获窗口<\/li> 通过xxxSBTrackLoop<\/code>处理鼠标消息<\/li> <\/ul> 关键内存操作<\/h3> 窗口释放流程<\/strong>:<\/p> 设置FNID为0x4000<\/code>(销毁标记)<\/li> 发送WM_NCDESTROY<\/code>消息<\/li> 调用xxxClientFreeWindowClassExtraBytes<\/code>(用户态回调)<\/li> 设置FNID为0x8000<\/code>(释放标记)<\/li> <\/ul> <\/li> FNID修改时机<\/strong>:<\/p> 必须在设置0x8000<\/code>标记后<\/li> 通过用户态hook函数修改<\/li> 修改为0x82A1<\/code>(FNID_FREED | FNID_BUTTON)<\/li> <\/ul> <\/li> <\/ol> 防御与检测<\/h2> 补丁修复<\/strong>:<\/p> 微软通过添加IsWindowBeingDestroyed<\/code>检查修复<\/li> 确保不能对正在销毁的窗口修改FNID<\/li> <\/ul> <\/li> 检测指标<\/strong>:<\/p> 异常FNID修改操作<\/li> 对FNID_FREED窗口的FNID设置尝试<\/li> 异常的滚动条跟踪操作序列<\/li> <\/ul> <\/li> 缓解措施<\/strong>:<\/p> 启用控制流防护(CFG)<\/li> 限制低权限用户的窗口消息处理能力<\/li> 监控win32kfull.sys中的异常行为<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> CVE-2018-8453是一个典型的Windows内核UAF漏洞，通过精心构造的窗口操作序列和FNID修改，攻击者可以实现权限提升。漏洞利用涉及多个Windows消息处理机制和内核对象生命周期管理，展示了Windows图形子系统复杂交互中潜在的安全问题。理解此漏洞有助于深入分析Windows内核安全机制和开发更有效的防御措施。<\/p>

CVE-2018-8453 Windows内核提权漏洞深入分析与利用<\/h1>

漏洞背景<\/h2>

漏洞详细分析<\/h2>

根本原因<\/h3> 漏洞的根本原因是win32kfull!NtUserSetWindowFNID<\/code>函数在设置窗口FNID时缺少对窗口是否正在被销毁的检查。补丁中新增了IsWindowBeingDestroyed<\/code>函数调用来修复此问题。<\/p>

技术细节补充<\/h2>

根本原因<\/h3>
漏洞的根本原因是`win32kfull!NtUserSetWindowFNID<\/code>函数在设置窗口FNID时缺少对窗口是否正在被销毁的检查。补丁中新增了IsWindowBeingDestroyed<\/code>函数调用来修复此问题。<\/p>`