[[183613]]

前言

Windows內核漏洞的利用具有高風險，經常用于瀏覽器沙箱逃逸。許多年以來,發現的大多數漏洞都是來源于Win32k.sys驅動，它負責處理來自GDI32.DLL和user32.dll的調用。為了緩解這些漏洞,微軟在window10上實現了Win32系統調用過濾.總體思路是在進程入口處嘗試阻止大量的發往win32.sys的系統調用,以便阻止未知的漏洞利用。我沒有找到實現的相關細節,也不確定效果如何。我發現的唯一資料就是由Peter Hlavaty發表在 Rainbow Over the Windows的相關文章。

系統調用101

我理解過濾技術的第一個方法就是研究系統調用是如何執行。分析是基于Windows 10周年更新的64位版本。通常,系統調用在gdi32.dll或者user32.dll的函數中被初始化,最終會在win32u.dll中調用真實的系統調用。但是，我們可以直接使用匯編來顯示系統調用，在以下的POC中,我查詢到系統調用號為0x119E的WIN32K函數是NtGdiDdDDICreateAllocation。所以我簡單地創建下面的測試應用程序：

下圖是NtGdiDdDDICreateAllocation的匯編代碼：

當運行syscall指令后,將轉入內核模式執行.真實的系統調用位于NT!KiSystemStartService。但是，由于有大量的系統調用，所以我們需要在調試器中設置一個條件斷點：

運行POC并開啟斷點

首先顯示的系統調用號就是我們提供的0x119E，其實參數1,2,3,4保存在寄存器RCX，RDX，R8和R9中。在IDA中查看相關代碼：

查閱代碼,我們發現一個有趣的問題:RBX寄存器的內容是什么,這又是從何而來。嘗試引用KiSystemServiceStart,我們發現 RBX在以下函數中被設置：

MOV RBX GS：188將Win32SyscallFilter.exe的內核線程結構載入RBX中，驗證如下：

研究算法

接下來的問題是RBX + 0x78代表什么，事實證明，它代表一系列的標志位。下圖引用的兩個標志是GuiThread和RestrictedGuiThread，它們分別位于標志的第6位和和19位。

在我們的例子中，標志位的值如下：

由于線程不是一個GUI線程，所以會重定向的將它轉換成一個GUI線程，然后返回相同的指針。繼續執行會發生：

Win32kSyscallFilter并沒有做任何事。但是接下來的檢查很有趣。RestrictedGuiThread標志指明,如果啟用系統調用過濾，會在進程級別上進行檢測：

因此，對于當前的進程和線程,系統調用過濾沒有啟用。查看進一步執行,將體現出這個標志位的重要性：

如果開啟了系統調用過濾功能,KeServiceDescriptorTableFilter將取代KeServiceDescriptorTableShadow，如果沒有開啟過濾,則將使用KeServiceDescriptorTableShadow。接下來要觀察系統調用表的使用，如下圖所示：

在經過運算后,RDI包含系統調用數目。在WIN32K系統的情況下,它的值是0x20。所以，取決于系統調用過濾是否開啟,不同的表會被載入R10.這兩個選項是：

然后該表將轉入真實的函數調用：

跟隨以上的算法，我們在調試器中找到：

所以這很顯然,系統調用號通過負偏移指向W32pServiceTable結構，然后指向真實的NtGdiDdDDICreateAllocation函數。這是非常好的，但是如果開啟了系統調用過濾,會有什么區別呢，這可以使用W32pServiceTableFilter來進行驗證：

我們看到在此之前并沒有什么區別,這是因為NtGdiDdDDiCreateAllocation并不是過濾的API之一，如果我們選擇其他的系統調用,比如NtGdiDdDDiCreateAllocation,它的系統調用號是0x117E。我們基于是否啟用系統調用過濾來對比以下兩個輸出。

首先是未啟用系統調用過濾的：

然后是啟用系統調用過濾：

我們發現，如果開啟了系統調用過濾功能，系統調用是不允許的另一個函數被調用的。該過濾函數驗證是否啟用系統調用過濾并簡單的結束系統調用。

利用的結果

現在我們了解了系統調用過濾是如何工作的，我們需要研究它是如何防止內核漏洞利用的。首先要看看它保護的是什么進程，到目前為止，僅僅是微軟Edge可以啟用這個功能，目前第三方程序沒有可以啟用它的接口。這意味著系統調用過濾僅僅關心Microsoft Edge漏洞并且僅限于內核漏洞。下面我們可以看到MicrosoftEdgeCP.exe的進程結構，并啟用了系統調用過濾：

回顧我早期文章，關于重新啟用tagWND對象作為讀寫原語的用法的，我想知道是否使用這個方法的任意系統調用都會被過濾，在那個方法中使用的內核模式的函數是：

NtUserCreateWindowEx 
NtUserDestroyWindow 
NtUserSetWindowLongPtr 
NtUserDefSetText 
NtUserInternalGetWindowText 
NtUserMessageCall 

在win32k.sys中沒有stub_*方法的函數意味著不會被過濾。結論就是Win32K系統調用過濾不會阻止可能導致漏洞的系統調用，但是當系統調用觸發一個漏洞時,它一定會阻止，可能是write-that-wherer或者是一個緩沖區溢出。WIN32K系統調用過濾所提供的保護是巧妙的，但關鍵在于是否使用了系統調用來觸發漏洞。