【CODE BLUE 2024】Angelboy ヤン / Angelboy Yang - 講演関連資料 / Presentation resources -

2025年2月7日 14:23

●講演概要 / Abstract

[ja] カーネルへのプロキシ：Windowsカーネルからのストリーミング脆弱性

過去数十年にわたり、イン・ザ・ワイルド（インターネットに放たれた状態）で発見される脆弱性の攻撃対象はWin32kからCLFS（Common Log File System）へと徐々に移行してきた。Microsoftはこれらの脆弱性を一貫して積極的に修正している。次の標的は何か？昨年、MSKSSRV.sysがハッカーの新たなターゲットとなったが、これはカーネル・ストリーミングの一部に過ぎない。
本講演では、長年見過ごされてきた、Windowsカーネルにおける特権昇格のためのアタックサーフェスを紹介する。われわれは、このアタックサーフェスを利用して、わずか数ヵ月で20以上の脆弱性を発見した。2024年のPwn2Ownバンクーバーで成功したWindowsのローカル特権昇格（LPE）は、実はこれらの脆弱性の1つであり、氷山の一角に過ぎなかった。また、この脆弱性により、Windows 7からWindows 11までのシステムを横断して侵害することが可能となった。さらに、新たに発見されたプロキシベースの論理バグクラスについても掘り下げる。このバグクラスは、Pwn2Ownで使用され、検証を回避してカーネルへのアクセスを可能にするものである。このようなバグクラスが深刻な結果を招き、容易に悪用できることも実演する。
本講演では、このアタックサーフェスとバグクラスの発見について共有し、これらの脆弱性の威力と優雅さを示すいくつかの事例研究を紹介する。また、類似の脆弱性パターンを発見し、調査するための手法も紹介し、Windowsエコシステムにおける将来のセキュリティ問題の発見と軽減に役立てられるようにする。

codeblue.jp

[en] Proxying to Kernel:Streaming vulnerabilities from Windows Kernel

Over the past few decades, the attack surface in in-the-wild vulnerabilities has gradually shifted from Win32k to CLFS. Microsoft has been consistently and actively patching these vulnerabilities. Who might become the next target? Last year, MSKSSRV became a hot target for hackers. However, it is just a part of the Kernel Streaming.
In this presentation, we are going to reveal the long-overlooked attack surface for privilege escalation in the Windows Kernel, which we exploited to identify over 20 vulnerabilities in just a few months. Our successful Windows LPE at Pwn2Own Vancouver 2024 was actually one of these vulnerabilities, and it was just the tip of the iceberg. That also allows us to compromise across systems from Windows 7 to Windows 11. Additionally, we delve into a novel proxy-based logical bug class used at Pwn2Own that enables us to pivot ourselves into the kernel to ignore most validations. Meanwhile, we will demonstrate how this kind of bug class can lead to severe consequences, making exploitation straightforward.
Through this talk, we’ll share our discovery of this attack surface and the bug class, providing some case studies on the power and elegance of this type of vulnerability. We’ll also introduce techniques for identifying and exploring similar vulnerability patterns, empowering attendees to discover and mitigate future security issues in the Windows ecosystem.

codeblue.jp

●略歴 / Bio

[ja] Angelboy・ヤン

アンジェ・ヤン（a.k.a. Angelboy）は、台湾のDEVCOREに所属するシニア・セキュリティ・リサーチャーであり、CHROOTセキュリティ・グループのメンバーでもある。Windows関連のセキュリティを専門とする脆弱性リサーチャーで、2024年にはMSRC（Microsoft Security Response Center）の最優秀セキュリティ・リサーチャーに選ばれた。HITB、DEFCON、Boston Key Partyなど多くのCTFに参加し、HITCON CTFチームとともにDEFCON CTF 25および27で2位を獲得した。過去2年間で、Pwn2Own Mobileで複数の製品を攻略し、2022年にはDEVCOREチームと共にPwn2Ownトロントで「Master of Pwn」のタイトルを獲得した。また、HITCON、CODE BLUE、AVTokyo、HITB GSECなどのカンファレンスで講演経験がある。
X（Twitter） @scwuaptx

codeblue.jp

[en] Angelboy Yang

An-Jie Yang, aka Angelboy, is a senior security researcher of DEVCORE and a member of CHROOT security group from Taiwan. He is a vulnerability researcher focusing on Windows-related security and was selected as one of the MSRC Most Valuable Security Researchers in 2024. He participated in a lot of CTF, such as HITB, DEFCON, Boston key party and won 2nd in DEFCON CTF 25/27 with HITCON CTF Team. In the past two years, he has pwned several products in Pwn2Own Mobile. He also won the title of the "Master of Pwn" at Pwn2Own Toronto 2022 with the DEVCORE team. He has spoken at several conferences such as HITCON, CODEBLUE, AVTokyo, HITB GSEC.
Twitter @scwuaptx

codeblue.jp

●事前インタビュー / Pre-Event Interview

[ja] インタビュー

Q1 どのようにして、今回発表するトピックへの取り組みを開始したのですか？
当初、私たちはPwn2Own Vancouver 2024において、Windows 11を攻略することを目指していました。そのため、過去のPwn2Ownイベントや最近のWindowsのゼロデイ脆弱性を確認し、潜在的な攻撃面を探し始めました。
昨年、SynacktivがPwn2Own 2023でMSKSSRVの脆弱性を利用してWindows 11を攻撃することに成功した後、多くの研究者がこのコンポーネントに注目しました。その後すぐに、CVE-2023-36802という2つ目の脆弱性が発見されました。
このコンポーネントは非常に小さく、ファイルサイズが約72KBしかないため、数日間の精査で全体像を把握できる可能性があると考えました。したがって、私たちは他の脆弱性を特定できることを期待しつつ、MSKSSRVの過去の脆弱性分析を選びました。
詳細な分析の結果、カーネルストリーミングには大きな攻撃面が存在し、多くの脆弱性やバグクラスが見つかりました。

Q2 この研究において直面した課題は何ですか？
主要な課題の1つは、Windowsカーネルストリーミングの技術的に非常に高度で低レベルな部分を理解することでした。特に、ユーザーモードとカーネルモードの間でプロキシとして機能するバグの仕組みや、それとのやり取りの方法が難しい点でした。

Q3 この講演に参加を検討している方に伝えたいメッセージはありますか？
この講演では、カーネルストリーミングの攻撃面とバグクラスの発見についてお話しし、これらの脆弱性の威力と洗練さを示すケーススタディをいくつか紹介します。また、類似の脆弱性パターンを特定して探索するための技術もご紹介し、Windowsエコシステムにおける今後のセキュリティ問題を発見し、軽減する力を身につけていただけるようにします。
セキュリティ研究者の方でも、Windowsカーネルドライバの開発者の方でも、この講演を通じてWindowsセキュリティについてより深く理解し、重要な分野に焦点を当てることができるようになるでしょう。最終的には、より安全なソフトウェアを開発するための助けになると思います。

[en] Interview

Q1 What led you to making this presentation?
Initially, we aimed to challenge Windows 11 in Pwn2Own Vancouver 2024. Therefore, we began by reviewing past Pwn2Own events and recent in-the-wild Windows vulnerabilities, searching for potential attack surfaces.
Last year, after Synacktiv successfully exploited a vulnerability in MSKSSRV to compromise Windows 11 during Pwn2Own 2023, many researchers began to focus on this component. Shortly thereafter, a second vulnerability, CVE-2023-36802, was discovered.
Given that this component is very small, with a file size of approximately 72 KB, it might only take a few days of careful examination to fully understand it. Therefore, we chose MSKSSRV for historical vulnerability analysis, with the hopeful prospect of identifying other vulnerabilities.
After our in-depth analysis, we found that kernel streaming presents a large attack surface, and we identified numerous vulnerabilities and different bug classes.

Q2 What were some challenges you faced during this research?
One of the major challenges was understanding the deeply technical and low-level nature of Windows kernel streaming, especially the proxying bug that interfaces between user mode and kernel mode and how to interact with it.

Q3 What message would you like to convey to those considering attending this talk?
Through this talk, we’ll share our discovery of kernel streaming attack surface and the bug class, providing some case studies on the power and elegance of this type of vulnerabilities. We’ll also introduce techniques for identifying and exploring similar vulnerability patterns, empowering attendees to discover and mitigate future security issues in the Windows ecosystem.
Whether you're a security researcher or a Windows kernel driver developer, the talk will help you better understand Windows security and highlight critical areas to focus on, ultimately helping you develop more secure software.