0x01 漏洞分析
这篇文章描述了splwow64.exe中的一个可利用的任意指针取消引用漏洞。此漏洞可以从Internet Explorer渲染器进程触发,并允许沙盒逃逸。
该漏洞允许通过将特定的LPC消息制作到splwow64.exe进程,从而从低完整性进程中任意写入splwow64.exe的地址空间。
该漏洞已经在Windows 7 x64和Windows 10 x64计算机上进行了测试。
在本文中,我将描述该漏洞的位置以及如何利用该漏洞从Internet Explorer沙盒中实现完整的沙盒逃逸。
该漏洞似乎未在Windows 7上进行修补,因此,我不会发布用于利用此漏洞的源代码。
漏洞描述
该漏洞在于处理对splwow64.exe进程的特定LPC调用,独步从而可以使用任意参数在splwow64地址空间中调用memcpy函数。这为攻击者提供了极为强大的原语,因为它允许在不依赖内核漏洞的情况下,在更高完整性进程的内存中进行写操作,并逃逸浏览器沙箱。
splwow64.exe进程
Splwow64.exe是一个Microsoft可执行文件,每当32位应用程序访问你已安装的打印机之一时,该文件便会执行。此进程特别有趣,因为它是Internet Explorer策略列入白名单的进程之一。换句话说,任何来自低完整性IE渲染器进程的调用都将生成此进程,这将导致splwow64.exe作为中等完整性进程被加载。
在深入分析漏洞本身之前,让我们尝试深入了解Splwow64流程的实际工作方式。
LPC端口创建
开始执行后,splwow64.exe将通过调用ZwCreatePort API创建LPC端口,并将开始等待传入连接。
让我们看一下ZwCreatePort函数。
NTSTATUS NTAPI ZwCreatePort(PHANDLE,POBJECT_ATTRIBUTES,ULONG,ULONG,ULONG);
如你所见,第二个参数是指向“对象属性”结构的指针,该结构将指向UNICODE_STRING函数,该函数包含由进程创建的LPC端口的名称。
为了连接到该LPC端口,我们需要了解的第一件事是如何生成LPC端口名称!如果你将检查ZwCreatePort的Object Attributes指针参数多次(每次重新引导计算机后),你会注意到LPC端口名的一部分将在每次重新引导后更改。
LPC端口名称如下所示:
在Windows 10上
\\RPC Control\\UmpdProxy_1_VARIABLEPART_0_2000
在Windows 7上
\\RPC Control\\UmpdProxy_1_VARIABLEPART_0_0
每次重新启动计算机后,VARIABLEPART都会更改。
这意味着要能够从IE Sandboxed进程实际连接到该LPC端口,我们将需要了解如何生成LPC端口名称。
对我们来说幸运的是,生成LPC端口名的可变部分的算法非常简单,看起来像这样