IoRingReadWritePrimitive

varwar · 05.07.2022

Статья - https://windows-internals.com/one-i...l-read-write-exploit-primitive-on-windows-11/

Сорцы - https://github.com/yardenshafir/IoRingReadWritePrimitive

varwar · 05.07.2022

"Fortunately, the internal structure of IORING_OBJECT is in the public symbols so there’s no need to reverse engineer"

А теперь вопрос, почему этой структуры нет ни в публичных символах, ни в последней версии WDK для Windows 11 (есть поле в _IRP, но объявления структуры нет)? Не первый раз замечаю, что в ресерчах описываются структуры, которые публичные, а по факту нет. Либо в инсайдерских сборках они были, а потом их убрали. Кто-нибудь знает в чем прикол?

Код:

lkd> dt nt!_IORING_OBJECT
Symbol nt!_IORING_OBJECT not found.


C:\Program Files (x86)\Windows Kits\10\Include\10.0.22621.0\km>findstr /S /a:A "IORING_OBJECT" *.h
wdm.h:                struct _IORING_OBJECT* IoRing;

weaver · 05.07.2022

Либо в инсайдерских сборках они были, а потом их убрали. Кто-нибудь знает в чем прикол?

Как говорил Винни "Мёд – если есть, то его сразу нет!". Закрывают различные примитивы. Таких случаев много, чел выступает на конфе (например BlackHat) рассказывает о какой-то технике эксплуатации о каких-то примитивах, Microsoft это видет и сразу фиксит, проще говоря убивают примитивы. Вот и всё. Но так было не всегда это было до того как был создан Google Project Zero. Целью которого на момент его создания являлось публичное давление на такие компании как Microsoft, Apple с целью чтобы они закрывали уязвимости, а давили на них публикуя 0day. А сейчас их целью является сделать 0day трудоступным, чтобы делать его было тяжело дорого и не для всех. У профессиональных сплойт-девелоперов есть свои "приватные" примитивы, но на то они и приватные. Вот к примеру тут рассказывается про новые примитивы https://msrc-blog.microsoft.com/2022/03/22/exploring-a-new-class-of-kernel-exploit-primitive/ на одной конфе хотели рассказать о этих примитивах в этом году, но в итоге доклад сняли.

varwar · 05.07.2022

weaver сказал(а):

Как говорил Винни "Мёд – если есть, то его сразу нет!". Закрывают различные примитивы. Таких случаев много, чел выступает на конфе (например BlackHat) рассказывает о какой-то технике эксплуатации о каких-то примитивах, Microsoft это видет и сразу фиксит, проще говоря убивают примитивы. Вот и всё. Но так было не всегда это было до того как был создан Google Project Zero. Целью которого на момент его создания являлось публичное давление на такие компании как Microsoft, Apple с целью чтобы они закрывали уязвимости, а давили на них публикуя 0day.

Так примитив живой, просто некоторые структуры почему-то делают непубличными. Не проще изначально их скрывать, если так уж хочется следовать привычной для мелких схеме безопасности через неясность? Впрочем, это вопрос риторический.

IoRingReadWritePrimitive

varwar

El Diff

varwar

El Diff

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3

varwar

El Diff