CVE-2021-40449 Win32k提权漏洞分析与利用<\/h1>

漏洞概述<\/h2>
CVE-2021-40449是卡巴斯基实验室在2021年8月下旬到9月上旬发现的Windows提权漏洞，存在于win32kfull.sys驱动中。攻击者可以利用该漏洞在Windows系统中完成从普通用户权限(User)到系统权限(System)的权限提升。<\/p>

基本概念<\/h2>

内核对象<\/h3>

内核对象存在于内核空间，只能由内核分配和访问<\/li>

应用程序通过操作系统提供的API间接操作内核对象<\/li> <\/ul>

引用计数<\/h3>

内核对象创建时引用计数为1<\/li>
调用CloseHandle()时引用计数减1<\/li>
引用计数为0时对象被释放<\/li>

类似于Java GC的引用计数法<\/li> <\/ul>

句柄(Handle)<\/h3>

应用程序操作内核对象的间接标识符<\/li>
内核对象创建后，操作系统返回句柄给应用程序<\/li>

应用程序通过API操作句柄，内核将句柄映射到实际的内核对象<\/li> <\/ul>

句柄表<\/h3>

进程初始化时分配句柄表<\/li>
创建内核对象时，内核在句柄表中设置对象指针<\/li>

返回句柄作为索引<\/li> <\/ul>

DC(Device Context)<\/h3>

内核对象，全称设备上下文对象<\/li>

用于图形设备接口(GDI)操作<\/li> <\/ul>

HDC<\/h3>

DC对象的句柄<\/li> <\/ul>

释放后重用(Use-After-Free)<\/h3>

内存被释放后变为空闲状态<\/li>
如果立即申请内存，可能分配到刚释放的内存<\/li>
如果释放前有指针指向该内存，释放后指针未置空<\/li>

后续使用该指针可能导致非预期行为<\/li> <\/ul>

漏洞分析<\/h2>

漏洞位置<\/h3>
漏洞存在于`win32kfull!GreResetDCInternal<\/code>函数中，该函数会获取DC对象内的函数指针并执行，但未检查DC对象是否有效。<\/p>`

漏洞原理<\/h3>

函数获取DC对象中的函数指针并执行<\/li>
未检查DC对象是否已被释放<\/li>
攻击者可以在调用函数指针前释放DC对象<\/li>
重新申请内存并构造恶意函数指针<\/li>
导致任意内核函数执行<\/li>
<\/ol>
关键代码<\/h3>
v10 =<\/span> *<\/span>(_QWORD *<\/span>)(v8 +<\/span> 48<\/span>);  \/\/ 获取DC对象指针
<\/span><\/span><\/span><\/span>v15 =<\/span> *<\/span>(void<\/span> (__fastcall<\/span> **<\/span>)(_QWORD, _QWORD))(*<\/span>v10 +<\/span> 2768<\/span>);  \/\/ 获取函数指针
<\/span><\/span><\/span><\/span>if<\/span> (v15)
<\/span><\/span>    v15(*<\/span>(_QWORD *<\/span>)(v10 +<\/span> 1824<\/span>), *<\/span>(_QWORD *<\/span>)(v14[6<\/span>] +<\/span> 1824<\/span>i64));  \/\/ 调用函数指针
<\/span><\/span><\/span><\/code><\/pre>漏洞触发流程<\/h3>

调用ResetDC<\/code>函数进入内核<\/li>
内核调用NtGdiResetDC<\/code>和GreResetDCInternal<\/code><\/li>
GreResetDCInternal<\/code>调用hdcOpenDCW<\/code><\/li>
hdcOpenDCW<\/code>执行用户模式回调函数<\/li>
在回调函数中再次调用ResetDC<\/code><\/li>
第二次调用GreResetDCInternal<\/code>时释放DC对象<\/li>
重新申请内存并构造恶意函数指针<\/li>
第一次调用继续执行被篡改的函数指针<\/li>
<\/ol>
漏洞利用<\/h2>
利用条件<\/h3>

释放DC对象<\/li>
重新申请原DC对象的内存空间<\/li>
构造内存布局，修改函数指针<\/li>
<\/ol>
利用步骤<\/h3>


第一次调用ResetDC<\/code>:<\/p>

创建DC对象和DCO对象<\/li>
获取DC对象中的函数指针<\/li>
<\/ul>
<\/li>

在hdcOpenDCW<\/code>回调中:<\/p>

第二次调用ResetDC<\/code><\/li>
释放原始DC对象<\/li>
<\/ul>
<\/li>

内存布局:<\/p>

使用CreatePalette<\/code>申请释放的内存<\/li>
精确构造内存覆盖函数指针<\/li>
<\/ul>
<\/li>

执行:<\/p>

第一次调用继续执行被篡改的函数指针<\/li>
实现任意内核函数调用<\/li>
<\/ul>
<\/li>
<\/ol>
关键函数调用链<\/h3>
ResetDC (用户态)
  -> NtGdiResetDC (内核)
    -> GreResetDCInternal (漏洞函数)
      -> hdcOpenDCW
        -> 用户模式回调
          -> ResetDC (第二次调用)
            -> NtGdiResetDC
              -> GreResetDCInternal
                -> 释放DC对象
      -> 调用DC对象函数指针 (此时已被篡改)
<\/code><\/pre>
补丁分析<\/h2>
补丁增加了对DC对象引用计数的检查：<\/p>
if<\/span> (*<\/span>(_WORD *<\/span>)(v30 +<\/span> 6<\/span>) ><\/span> 1u<\/span>) {
<\/span><\/span>    \/\/ 引用计数异常处理
<\/span><\/span><\/span><\/span>    EngSetLastError(6<\/span>);
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>补丁逻辑：<\/p>

正常情况下DC对象引用计数不应大于1<\/li>
如果发现引用计数异常，抛出错误<\/li>
防止在回调中重复调用导致的UAF<\/li>
<\/ol>
调试分析<\/h2>
关键断点<\/h3>
win32kfull!NtGdiResetDC
win32kfull!NtGdiResetDC+0xc1 (调用GreResetDCInternal)
win32kfull!GreResetDCInternal+0x3a (调用DCOBJ构造函数)
win32kfull!GreResetDCInternal+0x116 (调用hdcOpenDCW)
win32kfull!GreResetDCInternal+0x136 (第二次DCOBJ)
win32kfull!GreResetDCInternal+0x1b5 (调用DC对象函数指针)
win32kfull!GreResetDCInternal+0x1d1 (调用HmgSwapLockedHandle)
win32kfull!GreResetDCInternal+0x20d (调用bDeleteDCInternal)
<\/code><\/pre>
内存布局计算<\/h3>
函数指针 = ((DCO + 0x30) + 0xAD0)
其中DCO + 0x30指向DC对象
<\/code><\/pre>
内存申请<\/h3>
使用CreatePalette<\/code>申请释放的DC对象内存：<\/p>

DC对象大小通常为0xE30<\/li>
CreatePalette<\/code>会调用ExAllocatePoolWithTag<\/code>申请接近大小的内存<\/li>
<\/ul>
参考链接<\/h2>

https:\/\/www.secrss.com\/articles\/35266<\/li>
https:\/\/mp.weixin.qq.com\/s\/AcFS0Yn9SDuYxFnzbBqhkQ<\/li>
https:\/\/bbs.pediy.com\/thread-269930.htm<\/li>
<\/ol>

CVE-2021-40449 Win32k提权漏洞分析与利用<\/h1>

漏洞概述<\/h2> CVE-2021-40449是卡巴斯基实验室在2021年8月下旬到9月上旬发现的Windows提权漏洞，存在于win32kfull.sys驱动中。攻击者可以利用该漏洞在Windows系统中完成从普通用户权限(User)到系统权限(System)的权限提升。<\/p>

基本概念<\/h2>

漏洞分析<\/h2>

漏洞位置<\/h3> 漏洞存在于win32kfull!GreResetDCInternal<\/code>函数中，该函数会获取DC对象内的函数指针并执行，但未检查DC对象是否有效。<\/p>

漏洞利用<\/h2>

调试分析<\/h2>

参考链接<\/h2> https:\/\/www.secrss.com\/articles\/35266<\/li> https:\/\/mp.weixin.qq.com\/s\/AcFS0Yn9SDuYxFnzbBqhkQ<\/li> https:\/\/bbs.pediy.com\/thread-269930.htm<\/li> <\/ol>

漏洞概述<\/h2>
CVE-2021-40449是卡巴斯基实验室在2021年8月下旬到9月上旬发现的Windows提权漏洞，存在于win32kfull.sys驱动中。攻击者可以利用该漏洞在Windows系统中完成从普通用户权限(User)到系统权限(System)的权限提升。<\/p>

漏洞位置<\/h3>
漏洞存在于`win32kfull!GreResetDCInternal<\/code>函数中，该函数会获取DC对象内的函数指针并执行，但未检查DC对象是否有效。<\/p>`

参考链接<\/h2>

https:\/\/www.secrss.com\/articles\/35266<\/li>
https:\/\/mp.weixin.qq.com\/s\/AcFS0Yn9SDuYxFnzbBqhkQ<\/li>
https:\/\/bbs.pediy.com\/thread-269930.htm<\/li> <\/ol>