本文详细介绍了如何利用Windows RPC技术绕过CFG(Control Flow Guard)防护机制。通过分析CVE-2021-26411漏洞,探讨了RPC的工作原理,展示了如何构造虚假的RPC_MESSAGE以实现任意代码执行。利用RPC绕过CFG,无需构造ROP链,简化了攻击过程。最后,文章总结了这种方法作为绕过CFG的新策略。
概述
控制流保护(CFG)是微软在Windows 8.1 update 3和Windows 10中启用的一种抵御内存泄露攻击的新机制,用于阻止针对可执行文件间接调用的恶意利用。研究人员在分析CVE-2021-26411漏洞样本时,发现了一种使用WindowsPRC(远程调用)绕过CFG防护机制的新方法。
CVE-2021-26411漏洞回顾
CVE-2021-26411是Blink渲染引擎的UAF漏洞。removeAttributeNode()触发属性对象nodeValue的valueOf回调,回调期间手动调用clearAttributes(),导致nodeValue中保存的BSTR被提前释放。valueOf回调返回后,未检查nodeValue对象是否存在,从而导致UAF。
微软三月补丁日中对该漏洞的修复措施是,在删除CAttrArray :: Destroy函数中的对象之前添加索引检查:
对于这种具有可控制内存大小的UAF漏洞,利用的方法一般是:使用两种不同类型的指针(BSTR和Dictionary.items)指向重用内存,然后通过类型混淆来实现指针泄漏和指针取消引用能力:
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
