CVE-2014-1767 漏洞分析
1. 简介
该漏洞是由于Windows的afd.sys驱动在对系统内存的管理操作中,存在着悬垂指针的问题。在特定情况下攻击者可以通过该悬垂指针造成内存的double free漏洞。
实现对漏洞的有效利用,攻击者利用成功可导致权限提升。afd.sys是内核用来管理socket的模块。
影响的系统包括(32bit & 64 bit):
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows 8 & Windows 8.1
Windows Server 2012
测试环境:
Win7 32bit
下面对漏洞成因做简单分析。
注:本文是以分析思路来写的,并不是总结性的。所以会有些绕,想了解漏洞成因,请直接看最后的流程分析。
2.漏洞分析
2.1 "POC"
POC主要做了这么两件事:
1. 初始化了一个本地socket连接。
2. 给这个socket发送了两个控制码:0x1207F和0x120C3。
2.2 First Crash
将编译好的程序放在虚拟机中运行,触发漏洞之后的BSOD:
显示的信息为BAD_POOL_CALLER,BugCheck 0xc2。
设置双机调试后,触发BSOD,部分windbg输出的信息:
调用堆栈:
目前,我们可以知道:
出问题的是afd.sys模块,漏洞的类型为double free,free 的对象是Mdl,并且发生崩溃时存在这样的调用关系:
afd!AfdTransmitPacketsà afd!AfdTliGetTpInfoà afd!AfdReturnTpInfoànt!IoFreeMdl
2.3 Second Crash?
对afd.sys开启Special Pool后,再次运行POC,但是却没有发生崩溃,这有点奇怪。可是我们必须找到切入点,对问题Mdl对象进行回溯,然后搞清楚整个流程,锁定问题。
未开启Special Pool时,我们知道最后崩溃时的函数调用关系,或许可以对afd!AfdReturnTpInfo下断点,若此时也调用了该函数,可能会获得一些信息。但首先我们要搞清楚POC向afd.sys发送的两个控制码所对应的内核函数。
要找到这个对应关系,有这样的调试技巧:用户层的IoControl消息到都会被内核包装成IRP包,发送给对应驱动的IRP_MJ_DEVICE_CONTROL例程来处理,IRP_MJ_DEVICE_CONTROL例程会根据控制码来选择对应的函数。
感谢Windbg为我们提供了这样的功能:
这样就可以得到afd.sys对应的IRP_MJ_DEVICE_CONTROL例程为afd!AfdDispatchDeviceControl,利用IDA对该函数简单分析后,其大致流程如下:
设置如下两个断点:
再次运行POC,便可以得到两个控制码所对应的内核函数:
0x1207F:afd!AfdTransmitFile
0x120C3:afd!AfdTransmitPackets
接下来对上面提到的afd!AfdReturnTpInfo下断点,此时对afd.sys仍然开启了Special pool。看看有啥惊喜。
运行POC,待其断下来之后,对释放的Mdl进行跟踪:
咦,此时调用afd!AfdReturnTpInfo的并不是afd!AfdTransmitPackets,而是afd!AfdTransmitFile。好像还不能明白发生了什么,先记录下此时Mdl分配和释放的相关函数调用关系:
分配:afd!AfdTransmitFile+0x170à nt!VerifierIoAllocateMdl
释放:afd!AfdTransmitFile+0x5a3à afd!AfdReturnTpInfo+0xadxà nt!IoFreeMdl
nt!VerifierIoAllocateMdl这个函数有点奇怪,正常情况都是调用nt!IoAllocateMdl来分配Mdl的空间,IDA中此时也是调用的IoAllocateMdl,这是否是导致开启special pool后不崩溃的原因?这个问题还有待考证。
接着再看,在函数afd!AfdReturnTpInfo内,Mdl=[edi+0ch],所以利用同样的方法,在windbg中查看edi的分配释放记录:
记录下关于edi的函数的调用关系:
AfdTransmitFileàAfdTliGetTpInfoàExAllocateFromNPagedLookasideListàAfdAllocateTpInfo
而在函数afd!AfdReturnTpInfo中,edi=[esi+20h],同样的方法:
咦,怎么会和edi的结果一样?根据此时的函数调用,来看看afd!AfdTliGetTpInfo这个函数:
从这段IDA截图,根据微软的匈牙利命名法,可以知道函数afd! AfdReturnTpInfo中的edi为TpInfoElement,esi=TpInfo。并且TpInfoElementArray=*(DWORD*)(TpInfo+20h),sizeof(TpInfoElement)=0x18。
稍作总结一下我们所知道的:IoControl=0x1207F时,会调用afd!AfdTransmitFile,afd!AfdTransmitFile会调用afd!AfdTliGetTpInfo分配一个TpInfo,接着会调用nt!IoAllocateMdl分配一个Mdl,然后会从TpInfo结构中得到这个Mdl,并释放掉。
接着用windbg使用系统继续运行,windbg再也没有断下来,有一点忧伤。再次查看崩溃时的函数调用关系,将断点的位置提前到afd!AfdReturnTpInfo开始的时候。然后IoControl=0x120C3时,断点断下来后,利用windbg跟踪此时的esi:
这个调用关系看起来十分的眼熟,和IoControl=0x1207F时除了对应的内核函数不同,其他调用简直一模一样!那么我们来看看此时是如果避开了释放Mdl的流程。
利用windbg单步跟踪一下,发现其在afd!AfdReturnTpInfo+0x69处,由于[esi+28h]=0,跳转到另一条不执行释放Mdl的流程了。
而此时esi=TpInfo,我们可以猜测TpInfo结构另一个成员:TpInfo+28h=TpInfoElementCount。
好了,现在对整个流程有一个粗略的了解了。再回看一下漏洞的描述,"Mdl double free",那么可以大胆的猜测一下:double free 的Mdl就是afd!AfdTransmitFile所创建的Mdl!
2.4 大胆的假设
关闭special pool,设置如下两个断点:
记录下afd! AfdTransmitFile所创建的Mdl的地址,和最后调用afd!AfdTransmitPackets时释放Mdl地址做比较。
我们惊奇的发现,这两个地址是一样的!也就是最后afd!AfdTransmitPackets流程中释放的Mdl正是afd!AfdTransmitFile所创建的Mdl!
这样我们对整个流程又有了进一步的了解:
IoControl=0x1207F,对应的内核函数afd!AfdTransmitFile会创建TpInfo结构,分配一个Mdl并将地址存入到TpInfo结构的TpInfoElementArray中,接着其会调用afd!AfdReturnTpInfo释放掉Mdl。
IoControl=0x120C3,对应的内核函数afd!AfdTransmitPackets会从TpInfo取出Mdl,而这个Mdl正好是afd!AfdTransmitFile已经释放掉了的,此时afd!AfdTransmitPackets会尝试对其进行第二次释放。然后就BSOD。
目前有一个大大的疑问:为什么afd!AfdTransmitPackets流程中释放的就那么巧的就是afd!AfdTransmitFile所创建的那个Mdl?内核中pool的分配和释放时刻都在发生,为何会恰好得到那一块pool?
看来,得要去分析一下TpInfo分配和释放相关的一些东西了。
2.5一些函数
通过上面的分析,我们知道了一些和TpInfo分配和释放相关的函数:
ExAllocateFromNPagedLookasideList,AfdTliGetTpInfo,AfdAllocateTpInfo,AfdReturnTpInfo,ExFreeToNPagedLookasideList,AfdTransmitFile和AfdTransmitPackets。
结合静态和动态分析,将POC流程走的这个几个函数分析出来,特别留意和POC的关系。这个没啥好说的了,就直接把逆出来的伪C代码贴出来,然后加以解释了。
再说第一个函数之前,介绍一下IRP和IO_Stack_Location,比如IOControl=0x120C3时:
函数AfdTransmitPackets开始时候的ecx就是IRP:
红框内的值是否看起来有一点眼熟?回头看看POC,这正是第二次DeviceIoControl的部分参数。IRP的结构微软一直藏着掖着的,公开的部分结构也比较模糊。
IO_Stack_Location位置IRP+60h位置,其结构很简单但是因为有一个union结构的存在,显得很多,此时Parameters对应的是DeviceIoControl,结构如下:
此时IO_Stack_Location的内存:
其中的Type3InputBuffer成员是用来存储DeviceIoControl中InputBuffer的内容,位于IO_Stack_Location+0x10的位置。
AfdTransmitFile
1. 检查用户层DeviceIoControl中InputBufferSize是否大于30h。
2. 对IoStackLocation->Type3InputBuffer做一些有效性检查。
3. 调用AfdTliGetTpInfo分配一个TpInfo结构。
4. 根据VirtualAddress和Length创建一个Mdl(此时VirtualAddress和Length的值是从Type3InputBuffer得到的,分别对应的是inbuf1[6]和inbuf1[7]),并将其地址写入到TpElementArray的合适位置。
5. 调用函数MmProbeAndLockPages准备操作这块Mdl,但是此时因为要映射的地址无效(VirtualAddress=0x13371337),触发异常,调用AfdReturnTpInfo释放TpInfo。
AfdTliGetTpInfo
1. 设置异常处理模块,发生异常会调用AfdReturnInfo函数。
2. 调用ExAllocateFromNPagedLookasideList函数从Lookaside List为TpInfo分配一块pool。
3. 判断tpElementCount是否大于3,大于则会为TpElementArray更多的空间,否则就直接用TpInfo的空间了。
这里的nCount是通过用户层DeviceIoControl的InputBuffer获得,位于InputBuffer[2]。
来解释一下此时的Lookaside,可以看到其是一个定值为0x874ff428,这表明其是一个Dedicated Lookaside Lists,相当于专用的Lookaside 。用windbg查看这个Lookaside:
可以看到,刚开始的时候这个Lookaside为空。
Lookaside的分配和释放算法是理解为何会得到同一个Mdl的关键所在,来看一下:
首先是分配算法,流程如下:
1. 记录分配的次数。
2. 尝试从Lookaside卸载下一个ListEntry。第一次的IOControl,Lookaside为空,所以会进入到下一步的流程。
3. 尝试失败,调用Lookaside的分配函数重新分配一块pool。
接着是释放算法:
流程:
1. 记录释放的次数。
2. 如果此时Lookaside的Depth小于Lookaside的MaxDepth,则会将参数中的ListEntry加入到Lookaside中,否则进入下一步。
3. 记录释放失败的次数,调用Lookaside对应的释放函数。
在来看看TpInfo的分配和释放函数:
分配函数没有什么好说的,下面是释放函数:
流程:
1. 遍历TpInfo的TpElementArray数组,释放Mdl。
2. flags(第二个参数)为0,调用AfdFreeTpInfo释放TpInfo,否则调用ExFreeToNPagedLookasideList。
好了,现在还剩最后一个函数,IOControl=0x000120c3对应的AfdTransmitPackets函数:
流程:
1. 对IRP和IoStackLocation做有效性检查。
2. (IoStackLocation->InputBufferLength)>0x10。
3. InputBuffer[0]!=0,InputBuffer[1]<=0x0AAAAAAA。这点解释了POC中inbuf2的值。
4. 调用AfdTliGetTpInfo()。
2.6 流程分析
现在是时候做一个总结了,整个漏洞的流程如下。
POC创建了一个以socket为基础的本地网络连接,调用DeviceIoControl向socket对象分别发送两个控制码0x1207F和0x120C3,这两次控制码分别对应afd.sys的AfdTransmitFile和AfdTransmitPackets。
IOControl=0x1207F
1. AfdTransmitFile会调用AfdTliGetTpInfo来获得一个TpInfo结构,AfdTliGetTpInfo会尝试从Dedicated Lookaside Lists获得一个ListEntry,但是由于此时这个Lookaside为空,所以调用AfdAllocateTpInfo函数重新分配了一块pool给TpInfo使用。
2. 接着AfdTransmitFile根据用户层传递过来的VirtualAddress=0x13371337和Length来创建一个Mdl,用来和用户层交互,并将这个Mdl的地址保存到TpInfo结构中的TpElementArray数组中。
3. AfdTransmitFile接着调用MmProbeAndLockPages函数,准备对申请的Mdl进行操作,但是由于无效的地址(VirtualAddress=0x13371337),程序进入到异常处理的流程中。
4. 异常处理流程会调用AfdReturnTpInfo函数,AfdReturnTpInfo函数遍历TpInfo结构的TpElementArray数组,将Mdl释放掉。接着其会调用ExFreeToNPagedLookasideList释放刚创建的TpInfo。
5. 但是因为此时这个Lookaside很"闲",ExFreeToNPagedLookasideList不会将TpInfo释放掉,而是将其挂载到Dedicated Lookaside List中去。但此时TpInfo所在pool数据还保留着,并没有清空,当然也包括已经释放掉的Mdl地址,成了一个dangling pointer,这里就埋下了隐患。这是第一次free的地方。
第一次IoControl的操作主要就是放置一个dangling pointer到Dedicated Lookaside Lists中。
第二次IoControl对这个dangling pointer进行二次释放。
IOControl=0x120C3
1. 接下来AfdTransmitPackets同样会调用AfdTliGetTpInfo创建一个TpInfo结构。AfdTliGetTpInfo会调用ExAllocateFromNPagedLookasideList,尝试从Dedicated Lookaside Lists获得ListEntry。因为此时的Dedicated Lookaside Lists不为空,所以会从中卸载一个ListEntry给TpInfo使用,而此时Lookaside就只有一个上一次AfdTransmitFile函数放入的ListEntry,所以这个ListEntry正好是响应上一个控制码所放进去的那个!
2. 接着AfdTliGetTpInfo会从用户层输入inbuf2[1]获得值0x0AAAAAAA,作为TpElementCount,接下来会创建一个0x0AAAAAAA*0x18=0xFFFFFFF0大小的pool,这显然太大了,所以会再一次的进去到异常处理的操作。
3. 异常处理会调用AfdReturnTpInfo,其会遍历TpInfo尝试释放掉Mdl。因为此时的TpInfo所在的pool正是" dangling pointer",而Mdl已经被释放过一次了,这时发生double-free。
4. 然后发生BSOD。
2.7.总结
此漏洞被2014年黑客奥斯卡评为最佳提权漏洞,因为其从Windows上的内核级漏洞绕过Windows 8.1上的IE11沙箱。关于漏洞成因流程有两个比较有意思的地方:
1. 两次使内核函数进入到异常处理流程。
2. 两次从Lookaside得到的pool地址相同。
3. 参考
http://www.secniu.com/cve-2014-1767-afd-sys-double-free-vulnerability-analysis-and-exploit/
http://www.siberas.de/papers/Pwn2Own_2014_AFD.sys_privilege_escalation.pdf
by:会飞的猫
转载请注明:http://www.cnblogs.com/flycat-2016