怎么以一种意外的方式发现并找到 WinIO 内核驱动栈溢出漏洞

发布时间：2023-03-06 14:28:20 所属栏目：安全来源：

导读：研究者们在自制设备中的配件上找到了多个瑕疵，这影响了这些OEM厂商（Razer、EVGA、MSI、AMI）的许多用户。这些漏洞源于一个众所周知的易受攻击的驱动程序，通常被称为WinIO/WinRing0。

然而，在WinIo中，情况有所

研究者们在自制设备中的配件上找到了多个瑕疵，这影响了这些OEM厂商（Razer、EVGA、MSI、AMI）的许多用户。这些漏洞源于一个众所周知的易受攻击的驱动程序，通常被称为WinIO/WinRing0。

然而，在WinIo中，情况有所不同，任何用户都可以与之交互，包括沙盒应用程序。WinIo可以简单地在设备对象上设置一个安全描述符，以避免低权限用户与其交互。

开发人员如何以这样的一种令人感觉意外的方式发现并找到 WinIO 操作系统内核操作系统驱动程序的溢出漏洞。

将SDDL应用于设备对象

此memmove缺少任何参数检查。更准确地说，它属于控制长度参数，该参数源自SystemBuffer。因此，通过指定大于IOPM本地变量长度的长度，我们可以很容易地破坏堆栈。因此，我们可以重写本地堆栈数据，这是一个经典的缓冲区溢出场景，它可以导致重写调用方的返回指针，再加上使用ROP链，最终导致权限升级。

然而，存在另一个漏洞，即通过物理内存映射的权限升级，这允许我们拥有一个强大的R/W原则。

如何以一种意外的方式发现并找到 WinIO 内核驱动栈溢出漏洞

WinIO中的任意内存R/W函数

此时，会出现一个问题，这个代码库是否可以用于其他地方\驱动程序？

如何以一种意外的方式发现并找到 WinIO 内核驱动栈溢出漏洞

Razer Synapse Servicesys VirusTotal结果

三个异常的Razer Synapse

研究人员的设备上安装的是Razer Synapse，Razer Synapse(雷蛇云驱动)是一款云端软件,配合Razer的键鼠使用,可以把游戏配置文件、宏,已经鼠标等的设置参数同步到云端。Razer Synapse加载了一些驱动程序，其中之一是Razer Synape服务。sys–具有不同名称的WinIo驱动程序。通常，当加载WinIo驱动程序时，不会对设备对象设置安全限制。然而，在这种情况下，它有一个限制性的安全描述符。

应用于Razer驱动程序的SDDL

现在，我们应该仔细分析一下INF文件，但令人惊讶的是，并没有INF文件！

不得不说这是一个很奇怪的情况，我们怀疑Razer Synapse Service.exe将SDDL设置为驱动程序创建的设备对象。为此，我们监控了Procmon中的系统，并注意到该程序负责加载Razer Synapse Service.sys驱动程序。

如何以一种意外的方式发现并找到 WinIO 内核驱动栈溢出漏洞

如何以一种意外的方式发现并找到 WinIO 内核驱动栈溢出漏洞

我们可以看到，在第11-14行中，服务器尝试打开驱动程序创建的设备对象的句柄，然后为其设置新的安全描述符。我的意思是，他们在用户模式下使用了正确的方法，但他们一开始就不应该在用户模式空间中这样做。
漏洞利用

“Razer Synapse Service”配置为自动启动。因此，我们不能从低权限用户的角度随意重新启动它。要利用该漏洞，就是要在不重新启动服务的情况下重新创建竞争条件（race condition）。

事实证明，使用synapse3提供的更新机制，触发这种情况相对容易。每当安装新更新或新插件时，Razer Synapse Service将重新启动。

重新启动过程包括卸载WinIo驱动程序，然后重新加载。因此，允许我们触发竞争条件。这是通过安装一个新模块来完成的，这一操作不需要特权，因为Synsapse3支持Alexa、Chroma Connect、Chroma Studio、Philips HUE等模块。

如何以一种意外的方式发现并找到 WinIO 内核驱动栈溢出漏洞

模块列表Synapse 3

如果我们选择安装其中一个模块，synapse3进程将通过命名管道向Razer Central Service发送命令，以安装所选模块。

根据@_xeroxz的经验，我们最终使用一种称为msrexec的工具已经轻松成功地开发了MSR程序的写入指纹传感器原语漏洞。

（编辑：驾考网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!