前言

為了在IE和Chrome上繞過其沙盒機(jī)制完全控制用戶系統(tǒng)，Hacking Team還利用了一個(gè)Windows中的內(nèi)核驅(qū)動(dòng)： Adobe Font Driver(atmfd.dll)中存在的一處字體0day漏洞，實(shí)現(xiàn)權(quán)限提升并繞過沙盒機(jī)制。

該0day漏洞可以用于WindowsXP~Windows 8.1系統(tǒng)，X86和X64平臺(tái)都受影響，在Hacking Team泄露的源碼中我們發(fā)現(xiàn)了該漏洞的詳細(xì)利用代碼。在利用Flash漏洞獲得遠(yuǎn)程代碼執(zhí)行權(quán)限后，Hacking Team經(jīng)過復(fù)雜的內(nèi)核堆操作準(zhǔn)備后，加載一個(gè)畸形的OTF字體文件，再調(diào)用Atmfd中的相關(guān)接口觸發(fā)處理字體文件過程的漏洞，最后獲得任意次數(shù)的任意內(nèi)核地址讀寫權(quán)限，接著復(fù)制Explorer.exe的token到當(dāng)前進(jìn)程，并清除本進(jìn)程的Job來實(shí)現(xiàn)沙盒逃逸。

Chrome 43版本以上默認(rèn)對(duì)沙盒內(nèi)進(jìn)程使用DisallowWin32k機(jī)制關(guān)閉了所有win32k相關(guān)調(diào)用，因此不受這個(gè)漏洞的影響。

下面是該漏洞的具體分析，本文分析來自360Vulcan Team的pgboy：

1. 漏洞分析

通過分析漏洞利用的源碼我們看到，該漏洞在加載字體完成后利用NamedEscape函數(shù)的0x2514命令來觸發(fā)關(guān)鍵操作

通過跟蹤NamedEscape我們可以找到存在于atmfd.dll里面漏洞點(diǎn):

以下是筆者測試機(jī)器上atmfd的版本(win7 32bit):

相關(guān)觸發(fā)漏洞的callback代碼如下：

F5之后的callback代碼

這個(gè)Callback被外層函數(shù)循環(huán)調(diào)用寫入緩存：

我們可以看到，這里參數(shù)a3是一個(gè)有符號(hào)的16位數(shù)，當(dāng)a3>0x8000的時(shí)候，movsx會(huì)將其擴(kuò)展成0xffff8xxx，因此下面的寫操作就變成了堆上溢，會(huì)往給出的緩存地址的前面寫入。這是一個(gè)典型的由于符號(hào)溢出引發(fā)的堆上溢漏洞。

了解了漏洞的原理后，我們來繼續(xù)分析OTF文件是如何觸發(fā)該問題的，通過調(diào)試結(jié)合Adobe的文檔我們可以知道，是在處理OTF文件中CFF表的Charset過程引發(fā)的問題。

我們可以通過T2F Analyzer來觀察這個(gè)被加載的OTF字體文件的格式。見下圖：

顯而易見，樣本OTF文件中構(gòu)造了超長的Charset，然后通過NamedEscape函數(shù)的0x2514命令來獲取Charset的時(shí)候，就會(huì)觸發(fā)到上面描述的觸發(fā)點(diǎn)，引發(fā)符號(hào)溢出。

2.漏洞利用

我們從頭再看一下漏洞利用的流程，整個(gè)流程主要分這么幾個(gè)部分：

1. 找到內(nèi)核字體對(duì)象的地址

由于內(nèi)核字體內(nèi)存的布局無法直接被Ring3代碼探知，利用代碼中使用了一個(gè)特殊的技巧來實(shí)現(xiàn)獲得內(nèi)核字體對(duì)象的地址，在利用代碼中，先加載字體，然后立刻創(chuàng)建一個(gè)Bitmap對(duì)象，再連續(xù)多次加載這個(gè)字體，由于win32k和atmfd中共用了內(nèi)存堆處理函數(shù)，因此會(huì)導(dǎo)致Bitmap對(duì)象和字體對(duì)象是正好相鄰的。

由于Bitmap這類user/gdi對(duì)象的實(shí)際內(nèi)核地址可以通過映射到Ring3的GdiSharedHandleTable獲得，因此這樣也就可以間接獲得攻擊代碼加載到內(nèi)核的字體對(duì)象的范圍。

最后，由于NamedEscape函數(shù)調(diào)用atmfd設(shè)備的0x250A號(hào)命令可以指定對(duì)象的地址，并校驗(yàn)字體對(duì)象的有效性同時(shí)將字體對(duì)象讀出來，因此攻擊代碼結(jié)合Bitmap定位和NamedEscape的0x250a指令，就可以準(zhǔn)確獲取字體對(duì)象的地址，相關(guān)的代碼如下：

2. 觸發(fā)漏洞，實(shí)現(xiàn)寫入Bitmap對(duì)象

攻擊代碼首先會(huì)分配多個(gè)0xb000大小的對(duì)象，然后找到9個(gè)相鄰的Bitmap對(duì)象并釋放中間的3個(gè)，這樣就在內(nèi)核win32k堆內(nèi)存中留下了0xb000*3= 0x21000大小的空洞，接著攻擊代碼調(diào)用NameDEscape-atmfd的0x2514號(hào)命令來讀取超長的Charset，觸發(fā)漏洞。

在這個(gè)NamedEscape調(diào)用到atmfd過程中，會(huì)分配內(nèi)核對(duì)象來復(fù)制一份輸入的緩存，這里攻擊代碼將輸入的緩存大小設(shè)置為0x20005，由于頁對(duì)齊的原因，這里正好可以占住上面我們說到的0x21000大小的空洞內(nèi)存。

這樣在最終符號(hào)溢出時(shí)，就會(huì)寫入到這塊Buffer上面未被釋放的Bitmap對(duì)象中，這就通過精確地堆操作完成了將這個(gè)符號(hào)溢出導(dǎo)致的緩存上溢轉(zhuǎn)換到對(duì)已控制的Bitmap對(duì)象的寫入。

這個(gè)轉(zhuǎn)化的流程如下圖所示：

3. 將Bitmap寫入轉(zhuǎn)換為內(nèi)核任意地址讀寫

在第2步我們講到這里可以通過操作字體接口，將OTF文件的Charset處理的符號(hào)溢出漏洞轉(zhuǎn)換為覆蓋Bitmap對(duì)象內(nèi)存的操作，這里我們來看看Bitmap對(duì)象在win32k中是如何組織的：它實(shí)際是一個(gè) SURFACE對(duì)象，結(jié)構(gòu)如下：

其中，Address0其實(shí)是指向Bitmap中BitsBuffer的指針，我們可以通過SetBitmapBits函數(shù)來操作BitsBuffer指向的內(nèi)存，可以寫入bitmap對(duì)象的SURFACE內(nèi)核結(jié)構(gòu)后，攻擊代碼就可以通過控制Address0來實(shí)現(xiàn)任意地址讀寫。

在攻擊代碼中，使用了兩個(gè)Bitmap對(duì)象，一個(gè)Bitmap用來控制讀寫地址，另一個(gè)Bitmap2用來進(jìn)行實(shí)際讀寫，我們將Bitmap2作為讀寫地址控制器，將其pBitsBuffer指向?qū)崿F(xiàn)實(shí)際讀寫的Bitmap的pBitsBuffer的地址，這樣就可以實(shí)現(xiàn)多次穩(wěn)定的任意地址讀寫。

也就是說，我們通過對(duì)Bitmap2進(jìn)行 SetBitmapBits,設(shè)置實(shí)際讀寫的 Bitmap的pBitsBuffer為我們想要讀寫的地址，然后就可以通過進(jìn)行實(shí)際讀寫的Bitmap的GetBitmapBits和SetBitmapBits來實(shí)現(xiàn)對(duì)指定地址的讀寫了，如圖所示：

我們看到，在攻擊代碼中，首先創(chuàng)建了一個(gè)假的Bitmap對(duì)象，然后將這個(gè)對(duì)象寫到字體的Charset中：

上面的攻擊代碼中，則將這個(gè)假的Bitmap對(duì)象的address0，也就是pBitsBuffer設(shè)置成了進(jìn)行實(shí)際讀寫的bitmap的pBitsBuffer的地址。所以這個(gè)假的Bitmap對(duì)象就是我們上面提到的控制讀寫地址的Bitmap2。

最后下面就是完整的利用這個(gè)方式實(shí)現(xiàn)的任意內(nèi)核地址的讀(arbread)和寫(arbwrite)代碼:

3.修復(fù)內(nèi)核堆

由于漏洞是在上溢過程中進(jìn)行的對(duì)前一個(gè)對(duì)象寫入，必然會(huì)對(duì)內(nèi)核堆造成破壞，所以必須要修復(fù)內(nèi)核堆的結(jié)構(gòu)，這樣才能實(shí)現(xiàn)在進(jìn)程退出，對(duì)象被釋放時(shí)不會(huì)造成系統(tǒng)藍(lán)屏崩潰，詳細(xì)的修復(fù)代碼可以參考源碼中觸發(fā)利用點(diǎn)之后的操作，篇幅關(guān)系就不在這里完全列出了。

4.實(shí)現(xiàn)權(quán)限提升

在實(shí)現(xiàn)了內(nèi)核任意地址寫入功能后，權(quán)限提升過程就比較簡單了，攻擊代碼通過遍歷內(nèi)核進(jìn)程表找到explore.exe的進(jìn)程token，直接將explore的token對(duì)象的地址寫入到當(dāng)前進(jìn)程的token中，并清除進(jìn)程的Job對(duì)象，來實(shí)現(xiàn)最終完全繞過各類沙盒的保護(hù)功能。

由于權(quán)限提升過程中完全使用了DKOM的方式，沒有進(jìn)行內(nèi)核代碼執(zhí)行，因此也繞過了Windows8以上系統(tǒng)中的SMEP內(nèi)核保護(hù)功能。

我們在分析這個(gè)漏洞的過程中，發(fā)現(xiàn)目前Hacking Team版本的漏洞利用代碼還是存在一些問題的，由于最終的提權(quán)代碼直接從Explore復(fù)制的token對(duì)象，會(huì)導(dǎo)致該token對(duì)象的引用計(jì)數(shù)出現(xiàn)問題，當(dāng)系統(tǒng)關(guān)機(jī)、注銷，或者Explore.exe異常結(jié)束，最終導(dǎo)致Explore.exe進(jìn)程退出時(shí)，可能會(huì)導(dǎo)致引用錯(cuò)誤的token對(duì)象，引發(fā)系統(tǒng)藍(lán)屏崩潰，這是這個(gè)利用不夠優(yōu)美的地方。