近期，修補了CVE-2018-8453。這是卡巴斯基實驗室8月份發現的win32k.sys漏洞。此漏洞于2018年8月17日被Microsoft發現了.也已確認此漏洞并將其指定為CVE-2018-8453。

在2018年8月，試圖利用Microsoft Windows操作系統中的漏洞被檢測到。對此案例的進一步分析然后發現了win32k.sys中的零日漏洞。該漏洞由惡意軟件安裝程序的第一階段執行，以獲得對受害者系統持久性的必要特權。該漏洞利用的代碼質量很高，其目的是可靠地利用盡可能多的MS Windows版本，包括MS Windows10 RS4。

到目前為止，檢測到使用此漏洞的攻擊數量非常有限。受害者位于中東。

技術細節

CVE-2018-8453是一款免費使用的win32kfull！xxxDestroyWindow，類似于舊漏洞-CVE-2017-0263。CVE-2017-0263最初由Sofacy APT和PostScript漏洞利用于2017年部署。

對于漏洞的技術分析，完全反向設計了所獲得的ITW漏洞利用樣本，并將其重寫為完整的概念證明。

利用此漏洞取決于從三個usermode回調函數（fnDWORD，fnNCDESTROY和fnINLPCREATESTRUCT）上設置的掛鉤執行的一系列事件。該漏洞通過替換KernelCallbackTable中的函數指針來安裝這些鉤子：

圖2.內核回調表中的鉤子函數

在fnINLPCREATESTRUCT鉤子中，該漏洞利用顯式為其指定位置來初始化“SysShadow”窗口：

圖3.fnINLPCREATESTRUCT上的Usermode掛鉤初始化SysShadow

處理WM_LBUTTONDOWN消息時，fnDWORD掛鉤在父節點上執行DestroyWindow函數，這導致窗口被標記為空閑并隨后由垃圾收集器釋放。

問題在于在執行DestroyWindow函數期間執行的fnNCDESTROY掛鉤。此掛鉤執行NtUserSetWindowFNID系統調用，該調用包含一個有缺陷的邏輯，用于更改窗口的fnid狀態，而不會正確檢查它是否設置為FNID_FREED。

圖4.NtUserSetWindowFNID中的易受攻擊的代碼

窗口的fnid狀態位于tagWND結構中的偏移量0x02a處：

最初創建滾動條時，它的值為FNID_SCROLLBAR（0x029A）。

下圖顯示了在執行NtUserSetWindowFNID系統調用之前和之后的fnid值：

圖6.在執行NtUserSetWindowFNID系統調用之前和之后的滾動條fnid

然后可以通過針對ReactOS源代碼驗證它來檢查新的fnid值是什么：

在第一滾動條這個動作結果被破壞，同時系統仍然保持為一個參考“SysShadow”類，如滾動條FNID不再標記為FNID_FREED，但FNID_BUTTON代替。

為了成功回收釋放的內存池，該漏洞包含了許多不同的風水策略。噴涂程序取決于被利用的Windows版本，并且由于該漏洞利用了廣泛的操作系統，它包括五個獨立的噴涂功能：

圖8.利用中支持堆噴涂程序

對于最新支持的版本（Windows 10 RS4），噴涂策略非常復雜。內核噴涂了不同大小的位圖對象。這需要耗盡內存分配器以最終繞過最新Windows版本中顯著改進的低碎片堆安全緩解：

圖9.用于Windows RS4 17134的堆風水技術

這導致以下內存布局，其中USERTAG_SCROLLTRACK是釋放的池分配：

圖10.釋放滾動條堆分配

分配另一個滾動條時，將重用SysShadow類內存引用，但其內容受攻擊者控制，因為釋放的Usst（ffffee30044b2a10）和Gpbm（ffffee30044b2a90）池合并為一個塊：

圖11.釋放的分配與以下池合并

這導致使用GDI Bitmap原語的強大的任意內核Read\Write，即使在最新的Windows版本上也能工作。

成功利用之后，稍微修改的令牌竊取有效負載用于將當前進程令牌值與SYSTEM EPROCESS結構中的值進行交換：

圖12.修改的令牌竊取有效載荷過程

到目前為止，當漏洞攻擊包裝在惡意軟件安裝程序中時，已經觀察到此漏洞利用在少數目標攻擊中。安裝程序需要系統特權才能安裝其有效內容。有效載荷是一種復雜的植入物，被攻擊者用于持久訪問受害者的機器。它的一些主要特征包括：

使用帶有SMBIOS UUID的SHA-1的AES-256-CBC加密主有效負載（如果SMBIOS UUID未知，則無法在受害者以外的機器上解密有效負載）

使用Microsoft BITS（后臺智能傳輸服務）與其C＆C服務器進行通信，這是一種不尋常的技術

將主要負載存儲在磁盤上隨機命名的文件中; 加載程序包含文件名的哈希值，并嘗試通過比較Windows目錄中所有文件的文件名哈希值來查找有效內容

歸因

在經過調查過程中，發現攻擊者使用的是PowerShell后門，以前曾見過FruityArmor APT獨家使用的后門。在這一系列新活動與之前的FruityArmor活動之間，C2所使用的域名也存在重疊。

結論

即使部署0天似乎比以前更頻繁，這也是已經第二次發現FruityArmor使用其中一個來分發其惡意軟件。這表明了這個演員的資源和復雜性，以及其分發的高級最終賭注。

到目前為止，這場運動極具針對性，影響了中東地區極少數受害者，可能是襲擊者感興趣的人。然而，受害者的情況尚不清楚，特別是涉及的受害者人數如此之少。