Le système Windows de Microsoft confronté à une grave vulnérabilité de sécurité
Le mois dernier, le patch de sécurité publié par Microsoft contenait une vulnérabilité d'élévation de privilèges dans le système Windows qui est exploitée par des hackers. Cette vulnérabilité affecte principalement les anciennes versions de Windows, le système Windows 11 semble ne pas être affecté. Bien que Microsoft renforce constamment les mesures de sécurité du système, les attaquants peuvent néanmoins exploiter de telles vulnérabilités pour mener des attaques. Cet article analysera les détails spécifiques de cette vulnérabilité et les moyens possibles d'attaque.
Ce processus d'analyse a été réalisé dans un environnement Windows Server 2016.
Contexte de la vulnérabilité
Il s'agit d'une vulnérabilité zero-day, c'est-à-dire une faille système qui n'a pas encore été divulguée ni corrigée. Les vulnérabilités zero-day ont souvent un potentiel destructeur immense, car les attaquants peuvent en tirer parti sans être détectés. Grâce à cette vulnérabilité au niveau du système Windows, les hackers peuvent obtenir un contrôle total sur le système.
Un système contrôlé par des hackers peut entraîner de graves conséquences, notamment mais sans s'y limiter : le vol d'informations personnelles, l'effondrement du système, la perte de données, des pertes financières, l'insertion de logiciels malveillants, etc. Pour les utilisateurs individuels, les clés privées des cryptomonnaies peuvent être volées, et les actifs numériques sont exposés au risque d'être transférés. D'un point de vue plus large, cette vulnérabilité pourrait même affecter l'ensemble de l'écosystème Web3 reposant sur des infrastructures Web2.
Analyse des vulnérabilités
Après avoir analysé le patch, il a été constaté que le problème provenait d'un comptage de références d'un objet ayant été traité une fois de trop. Une étude plus approfondie des commentaires du code source initial a révélé que le code précédent ne verrouillait que l'objet fenêtre, mais ne verrouillait pas l'objet menu au sein de l'objet fenêtre, ce qui pouvait entraîner une référence incorrecte de l'objet menu.
Exploitation de vulnérabilités
Nous avons construit une structure de menu multilayer spéciale pour déclencher des vulnérabilités. Ces menus ont des types d'ID spécifiques et des relations de référence afin de passer divers contrôles du système. La clé est de supprimer la relation de référence entre certains menus lorsque une fonction retourne le niveau utilisateur, libérant ainsi un objet de menu clé. De cette façon, lorsque le système essaie à nouveau de référencer cet objet de menu, une erreur se produira.
Mise en œuvre de l'exploitation des vulnérabilités
L'exploitation des vulnérabilités se divise principalement en deux étapes : d'abord, contrôler la valeur d'un paramètre clé, puis utiliser ce contrôle pour établir des primitives de lecture/écriture stables. Nous avons réalisé une lecture/écriture arbitraire sur le système grâce à une mise en page mémoire soigneusement conçue, en exploitant la structure spécifique des objets fenêtre et des objets de classe fenêtre.
Conclusion
Microsoft essaie de reconstruire le code lié à win32k avec Rust, et le nouveau système pourrait ne plus avoir de telles vulnérabilités à l'avenir.
Le processus d'exploitation de ce type de vulnérabilité est relativement simple, reposant principalement sur la divulgation de l'adresse du gestionnaire de tas du bureau.
La découverte de cette vulnérabilité pourrait être attribuée à des techniques de détection de couverture de code plus avancées.
En ce qui concerne la détection des vulnérabilités, en plus de se concentrer sur les fonctions de déclenchement des vulnérabilités, il convient également de prêter attention à la disposition anormale de la mémoire et au comportement de lecture et d'écriture des données.
En général, bien que la sécurité du système Windows s'améliore constamment, de telles vulnérabilités dans les anciens systèmes restent une menace sérieuse pour la sécurité. Mettre à jour les correctifs système en temps opportun et sensibiliser à la sécurité restent des mesures clés pour protéger la sécurité du système.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
6
Partager
Commentaire
0/400
GasWaster
· 07-15 16:57
Il faut encore mettre à jour le système rapidement... c'est frustrant.
Voir l'originalRépondre0
WenAirdrop
· 07-15 09:00
Le nouveau patch n'a pas pu être installé, l'argent est parti.
Voir l'originalRépondre0
CommunityWorker
· 07-15 07:22
Qui ose encore utiliser XP ?
Voir l'originalRépondre0
OldLeekNewSickle
· 07-15 07:19
Déplacez les actifs vers le Cold Wallet pour protéger votre vie... Ne laissez pas le nid être vidé par un 0day.
Une grave vulnérabilité de Windows révélée, la sécurité des actifs Web3 menacée
Le système Windows de Microsoft confronté à une grave vulnérabilité de sécurité
Le mois dernier, le patch de sécurité publié par Microsoft contenait une vulnérabilité d'élévation de privilèges dans le système Windows qui est exploitée par des hackers. Cette vulnérabilité affecte principalement les anciennes versions de Windows, le système Windows 11 semble ne pas être affecté. Bien que Microsoft renforce constamment les mesures de sécurité du système, les attaquants peuvent néanmoins exploiter de telles vulnérabilités pour mener des attaques. Cet article analysera les détails spécifiques de cette vulnérabilité et les moyens possibles d'attaque.
Ce processus d'analyse a été réalisé dans un environnement Windows Server 2016.
Contexte de la vulnérabilité
Il s'agit d'une vulnérabilité zero-day, c'est-à-dire une faille système qui n'a pas encore été divulguée ni corrigée. Les vulnérabilités zero-day ont souvent un potentiel destructeur immense, car les attaquants peuvent en tirer parti sans être détectés. Grâce à cette vulnérabilité au niveau du système Windows, les hackers peuvent obtenir un contrôle total sur le système.
Un système contrôlé par des hackers peut entraîner de graves conséquences, notamment mais sans s'y limiter : le vol d'informations personnelles, l'effondrement du système, la perte de données, des pertes financières, l'insertion de logiciels malveillants, etc. Pour les utilisateurs individuels, les clés privées des cryptomonnaies peuvent être volées, et les actifs numériques sont exposés au risque d'être transférés. D'un point de vue plus large, cette vulnérabilité pourrait même affecter l'ensemble de l'écosystème Web3 reposant sur des infrastructures Web2.
Analyse des vulnérabilités
Après avoir analysé le patch, il a été constaté que le problème provenait d'un comptage de références d'un objet ayant été traité une fois de trop. Une étude plus approfondie des commentaires du code source initial a révélé que le code précédent ne verrouillait que l'objet fenêtre, mais ne verrouillait pas l'objet menu au sein de l'objet fenêtre, ce qui pouvait entraîner une référence incorrecte de l'objet menu.
Exploitation de vulnérabilités
Nous avons construit une structure de menu multilayer spéciale pour déclencher des vulnérabilités. Ces menus ont des types d'ID spécifiques et des relations de référence afin de passer divers contrôles du système. La clé est de supprimer la relation de référence entre certains menus lorsque une fonction retourne le niveau utilisateur, libérant ainsi un objet de menu clé. De cette façon, lorsque le système essaie à nouveau de référencer cet objet de menu, une erreur se produira.
Mise en œuvre de l'exploitation des vulnérabilités
L'exploitation des vulnérabilités se divise principalement en deux étapes : d'abord, contrôler la valeur d'un paramètre clé, puis utiliser ce contrôle pour établir des primitives de lecture/écriture stables. Nous avons réalisé une lecture/écriture arbitraire sur le système grâce à une mise en page mémoire soigneusement conçue, en exploitant la structure spécifique des objets fenêtre et des objets de classe fenêtre.
Conclusion
Microsoft essaie de reconstruire le code lié à win32k avec Rust, et le nouveau système pourrait ne plus avoir de telles vulnérabilités à l'avenir.
Le processus d'exploitation de ce type de vulnérabilité est relativement simple, reposant principalement sur la divulgation de l'adresse du gestionnaire de tas du bureau.
La découverte de cette vulnérabilité pourrait être attribuée à des techniques de détection de couverture de code plus avancées.
En ce qui concerne la détection des vulnérabilités, en plus de se concentrer sur les fonctions de déclenchement des vulnérabilités, il convient également de prêter attention à la disposition anormale de la mémoire et au comportement de lecture et d'écriture des données.
En général, bien que la sécurité du système Windows s'améliore constamment, de telles vulnérabilités dans les anciens systèmes restent une menace sérieuse pour la sécurité. Mettre à jour les correctifs système en temps opportun et sensibiliser à la sécurité restent des mesures clés pour protéger la sécurité du système.