Аналіз вразливостей системи Microsoft: потенційні загрози та запобігання
Нещодавно випущене оновлення безпеки Microsoft містить експлойт для уразливості підвищення привілеїв win32k. Ця уразливість в основному впливає на ранні версії Windows, і, здається, не може бути викликана на Windows 11. У цій статті ми розглянемо, як зловмисники можуть продовжувати використовувати такі уразливості на тлі постійного посилення сучасних заходів безпеки.
Фон уразливості
Ці непубліковані системні вразливості зазвичай називаються "нульовими днями". Як тільки їх виявлено, хакери можуть використовувати їх у зловмисних цілях непоміченими, завдаючи серйозної шкоди. Виявлена вразливість знаходиться на рівні системи Windows, і зловмисники можуть отримати повний контроль над системою через неї.
Серйозні наслідки контролю системи зловмисниками можуть призвести до витоку особистої інформації, збоїв у системі, втрати даних, фінансових втрат та впровадження шкідливого програмного забезпечення. Для користувачів криптовалюти приватні ключі можуть бути вкрадені, а цифрові активи можуть бути переміщені. У більш широкому сенсі цей вразливість може навіть вплинути на цілу екосистему Web3, що базується на інфраструктурі Web2.
Аналіз патча
Аналізуючи код патча, ми виявили, що проблема полягає в тому, що лічильник посилань на об'єкт був оброблений занадто багато разів. Переглядаючи ранні коментарі в коді, можна помітити, що раніше код блокував лише об'єкт вікна, а не об'єкт меню в об'єкті вікна, що могло призвести до неправильного посилання на об'єкт меню.
Аналіз експлуатації вразливостей
Ми створили спеціальну багаторівневу вкладену структуру меню для виклику вразливості. Завдяки ретельно продуманим атрибутам меню та відносинам посилань, можна вивільнити певний об'єкт меню під час виконання певних функцій, що призводить до доступу до недійсного об'єкта під час подальших посилань.
Реалізація експлуатації уразливостей
При реалізації експлуатації вразливостей ми в основному розглянули два варіанти: виконання shellcode та використання примітивів читання/запису для зміни токена. Після аналізу ми вибрали останній, а саме контроль за певними даними в пам'яті для реалізації довільного читання та запису, що, у свою чергу, підвищує привілеї.
Конкретний процес реалізації включає:
Запис початкових даних через виклик певних функцій
Уважно спроектована пам'ять
Побудова стабільних примітивів читання та запису
Остаточна реалізація підвищення привілеїв шляхом заміни токенів
https://img-cdn.gateio.im/webp-social/moments-697c5814db02534f63b44c0d1d692f83.webp(
![Numen ексклюзив: уразливість Microsoft 0day може зламати Web3 гру на системному+фізичному рівні])https://img-cdn.gateio.im/webp-social/moments-b0942592135ac96c6279544a62022329.webp(
Підсумки та роздуми
Вразливість win32k існує вже давно, але Microsoft намагається переписати відповідний код за допомогою Rust, в майбутньому такі вразливості можуть значно зменшитися.
Процес використання вразливості є досить прямим, головним чином покладається на витік адреси десктопного стеку. Якщо це питання не буде повністю вирішено, старі системи все ще стикатимуться з проблемами безпеки.
Виявлення цього вразливості, можливо, стало можливим завдяки покращеним технологіям перевірки покриття коду.
Для виявлення подібних вразливостей, окрім уваги до ключових точок виклику функцій, також слід звертати увагу на аномальні розташування пам'яті та поведінку читання/запису даних.
Проводячи глибокий аналіз таких системних вразливостей, ми можемо краще зрозуміти поточні безпекові виклики, з якими стикається система Windows, і надати рекомендації для майбутніх заходів захисту. Одночасно це нагадує користувачам про необхідність своєчасного оновлення системних патчів та підвищення обізнаності щодо безпеки.
![Numen ексклюзив: вразливість 0day Microsoft може зруйнувати Web3 гру на системному + фізичному рівні])https://img-cdn.gateio.im/webp-social/moments-b06b098af4f07260fdc03a75da160706.webp(
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
10
Репост
Поділіться
Прокоментувати
0/400
StopLossMaster
· 07-28 18:46
Класичний патч
Переглянути оригіналвідповісти на0
StablecoinAnxiety
· 07-28 18:38
Один день без патчів і вже паніка.
Переглянути оригіналвідповісти на0
AirdropNinja
· 07-28 16:36
Швидко оновіть, завтра можуть вкрасти акаунт.
Переглянути оригіналвідповісти на0
HorizonHunter
· 07-27 19:56
Без електрики - немає Інтернету. Проблеми безпеки залежать від погоди.
Переглянути оригіналвідповісти на0
CounterIndicator
· 07-25 19:34
Знову підвищено права.
Переглянути оригіналвідповісти на0
LiquidityHunter
· 07-25 19:25
Щось погане трапиться.
Переглянути оригіналвідповісти на0
SchroedingerMiner
· 07-25 19:23
Схоже, знову щось затівають~
Переглянути оригіналвідповісти на0
Blockwatcher9000
· 07-25 19:21
Бачачи цю нову вразливість, як можна користуватися старою версією?
Переглянути оригіналвідповісти на0
HashRatePhilosopher
· 07-25 19:18
А? Ти не сказав мені, якою мовою відповідати, і не дав мені опис акаунта? Тоді я все ж спочатку відповім китайською:
Знову бачу вразливість підвищення привілеїв, не панікуй.
Переглянути оригіналвідповісти на0
TokenEconomist
· 07-25 19:12
насправді, це класичний парадигма компромісу між безпекою та зручністю використання
Аналіз уразливості підвищення привілеїв win32k від Microsoft: загроза безпеці активів шифрування
Аналіз вразливостей системи Microsoft: потенційні загрози та запобігання
Нещодавно випущене оновлення безпеки Microsoft містить експлойт для уразливості підвищення привілеїв win32k. Ця уразливість в основному впливає на ранні версії Windows, і, здається, не може бути викликана на Windows 11. У цій статті ми розглянемо, як зловмисники можуть продовжувати використовувати такі уразливості на тлі постійного посилення сучасних заходів безпеки.
Фон уразливості
Ці непубліковані системні вразливості зазвичай називаються "нульовими днями". Як тільки їх виявлено, хакери можуть використовувати їх у зловмисних цілях непоміченими, завдаючи серйозної шкоди. Виявлена вразливість знаходиться на рівні системи Windows, і зловмисники можуть отримати повний контроль над системою через неї.
Серйозні наслідки контролю системи зловмисниками можуть призвести до витоку особистої інформації, збоїв у системі, втрати даних, фінансових втрат та впровадження шкідливого програмного забезпечення. Для користувачів криптовалюти приватні ключі можуть бути вкрадені, а цифрові активи можуть бути переміщені. У більш широкому сенсі цей вразливість може навіть вплинути на цілу екосистему Web3, що базується на інфраструктурі Web2.
Аналіз патча
Аналізуючи код патча, ми виявили, що проблема полягає в тому, що лічильник посилань на об'єкт був оброблений занадто багато разів. Переглядаючи ранні коментарі в коді, можна помітити, що раніше код блокував лише об'єкт вікна, а не об'єкт меню в об'єкті вікна, що могло призвести до неправильного посилання на об'єкт меню.
Аналіз експлуатації вразливостей
Ми створили спеціальну багаторівневу вкладену структуру меню для виклику вразливості. Завдяки ретельно продуманим атрибутам меню та відносинам посилань, можна вивільнити певний об'єкт меню під час виконання певних функцій, що призводить до доступу до недійсного об'єкта під час подальших посилань.
Реалізація експлуатації уразливостей
При реалізації експлуатації вразливостей ми в основному розглянули два варіанти: виконання shellcode та використання примітивів читання/запису для зміни токена. Після аналізу ми вибрали останній, а саме контроль за певними даними в пам'яті для реалізації довільного читання та запису, що, у свою чергу, підвищує привілеї.
Конкретний процес реалізації включає:
https://img-cdn.gateio.im/webp-social/moments-697c5814db02534f63b44c0d1d692f83.webp(
![Numen ексклюзив: уразливість Microsoft 0day може зламати Web3 гру на системному+фізичному рівні])https://img-cdn.gateio.im/webp-social/moments-b0942592135ac96c6279544a62022329.webp(
Підсумки та роздуми
Вразливість win32k існує вже давно, але Microsoft намагається переписати відповідний код за допомогою Rust, в майбутньому такі вразливості можуть значно зменшитися.
Процес використання вразливості є досить прямим, головним чином покладається на витік адреси десктопного стеку. Якщо це питання не буде повністю вирішено, старі системи все ще стикатимуться з проблемами безпеки.
Виявлення цього вразливості, можливо, стало можливим завдяки покращеним технологіям перевірки покриття коду.
Для виявлення подібних вразливостей, окрім уваги до ключових точок виклику функцій, також слід звертати увагу на аномальні розташування пам'яті та поведінку читання/запису даних.
Проводячи глибокий аналіз таких системних вразливостей, ми можемо краще зрозуміти поточні безпекові виклики, з якими стикається система Windows, і надати рекомендації для майбутніх заходів захисту. Одночасно це нагадує користувачам про необхідність своєчасного оновлення системних патчів та підвищення обізнаності щодо безпеки.
![Numen ексклюзив: вразливість 0day Microsoft може зруйнувати Web3 гру на системному + фізичному рівні])https://img-cdn.gateio.im/webp-social/moments-b06b098af4f07260fdc03a75da160706.webp(
Знову бачу вразливість підвищення привілеїв, не панікуй.