Windows Telephony Server Elevation of Privilege Vulnerability CVE-2024-26230 취약점 분석

[공격자 프로세스] │ ▼ ┌─────────────────┐ │ RPC 바인딩 │ ──► ncalrpc:[tapsrvlpc] │ (ClientAttach) │ └────────┬────────┘ │ ▼ ┌─────────────────┐ │ Main Context │ ──► GOLD 객체 6개 생성 │ 핸들 생성 │ └────────┬────────┘ │ ▼ ┌─────────────────┐ │ Worker Context │ ──► 별도 컨텍스트 생성 │ 핸들 생성 │ └────────┬────────┘ │ ▼ ┌─────────────────┐ │ UAF 설정 │ ──► Main에서 GOLD 해제 → Worker에서 재할당 → Main에서 다시 해제 │ (Dangling Ptr) │ ═══► Dangling Pointer 생성 └────────┬────────┘ │ ▼ ┌─────────────────┐ │ Heap Feng Shui │ ──► 레지스트리 키로 Fake Object 배치 │ │ └────────┬────────┘ │ ▼ ┌─────────────────┐ │ UAF 트리거 │ ──► TUISPIDLLCallback에서 가상 함수 호출 │ (코드 실행) │ ═══► malloc → VirtualAlloc → memcpy_s → LoadLibraryW └────────┬────────┘ │ ▼ ┌─────────────────┐ │ DLL 로드 │ ──► NETWORK SERVICE 권한으로 악성 DLL 실행 │ │ └─────────────────┘

tapisrv.dll (Telephony Service) │ ├─ ClientAttach() ← RPC 연결 및 컨텍스트 핸들 생성 │ └─ PCONTEXT_HANDLE_TYPE 반환 ← 클라이언트별 컨텍스트 생성 │ ├─ ClientRequest() ← RPC 요청 처리 (gaFuncs 테이블 디스패치) │ │ │ ├─ gaFuncs[0x1] GetUIDllName() ← GOLD 객체 생성 │ │ └─ htDlgInst 반환 ← 객체 ID 반환 │ │ │ ├─ gaFuncs[0x2] TUISPIDLLCallback() ← UAF 트리거 코드 실행 지점 │ │ └─ Dangling Pointer의 가상 함수 호출 │ │ │ ├─ gaFuncs[0x3] FreeDialogInstance() ← GOLD 객체 해제 취약점 발생 지점 │ │ └─ 객체 해제 후 포인터 무효화 없음 │ │ │ └─ gaFuncs[0x79] TRequestMakeCall() ← 레지스트리 값을 힙에 할당 │ └─ HandoffPriorities\RequestMakeCall 키 읽기 │ └─ ClientDetach() ← RPC 연결 해제

__int64 __fastcall ClientRequest(__int64 a1, _DWORD *a2, unsigned int a3, _DWORD *a4) { _DWORD *v5 = 0i64; // 최소 버퍼 크기 검증 (0x3C = 60 bytes) if ( a3 < 0x3C || *a4 < 8u ) { if ( a3 >= 4 ) { *a2 = 0x80000032; // 에러 코드 반환 return result; } return TRACELogPrint(65538i64, "RPC buffer too small to even return error!!!"); } // 첫 번째 DWORD는 gaFuncs 테이블의 인덱스 v9 = (unsigned int)*a2; // 컨텍스트 객체 참조 result = ReferenceObject(a1, (unsigned int)a1, 0x544E4C43i64); // 'CLNT' 매직 v5 = (_DWORD *)result; if ( !result ) { *a2 = 0xF101; return result; } // 함수 인덱스 유효성 검증 (0xA9 = 169개 함수) if ( (unsigned int)v9 < 0xA9 ) { if ( *v5 == 0x544E4C43 ) // 컨텍스트 매직 넘버 확인 { *a2 = 0; // ★ gaFuncs 테이블에서 함수 포인터 획득 및 호출 result = ((__int64 (__fastcall *)(_DWORD *, _DWORD *, _QWORD, _DWORD *, _DWORD *)) *(&gaFuncs + v9))( v5, // 컨텍스트 핸들 a2, // 입력/출력 버퍼 a3 - 60, // 사용 가능한 버퍼 크기 a2 + 15, // 파라미터 시작 위치 (60바이트 오프셋) a4); // 사용된 크기 포인터 } else { *a2 = -2147483566; // 잘못된 컨텍스트 } } else { *a2 = -2147483575; // 잘못된 함수 인덱스 } if ( v5 ) return DereferenceObject(v10, (unsigned int)v5[62], 1i64); return result; } ``` **ClientRequest 버퍼 구조:** ``` [그림 3] ClientRequest RPC 버퍼 구조 Offset Size Description ───────────────────────────────────────────────────────── 0x00 4 gaFuncs 테이블 인덱스 (함수 선택) 0x04 4 에러 코드 반환 영역 0x08 4 예약 영역 0x0C 48 내부 헤더 영역 0x3C ... 함수별 파라미터 시작 (a2 + 15) ``` #### 2.3.2. gaFuncs 함수 테이블 gaFuncs는 169개(0xA9)의 함수 포인터를 포함하는 전역 테이블이다. ``` [코드 2] gaFuncs 함수 테이블 정의 (.rdata 섹션) .rdata:000000018003E010 gaFuncs dq offset GetAsyncEvents ; [0x00] .rdata:000000018003E018 dq offset GetUIDllName ; [0x01] ← GOLD 생성 .rdata:000000018003E020 dq offset TUISPIDLLCallback ; [0x02] ← UAF 트리거 .rdata:000000018003E028 dq offset FreeDialogInstance ; [0x03] ← GOLD 해제 .rdata:000000018003E030 dq offset LAccept ; [0x04] .rdata:000000018003E038 dq offset LAddToConference ; [0x05] ... .rdata:000000018003E3D8 dq offset TRequestMakeCall ; [0x79] ← 레지스트리 힙 할당 ... .rdata:000000018003E558 align 20h

int __fastcall GetUIDllName(__int64 a1, int *a2, unsigned int a3, void *a4, _DWORD *a5) { // ... // GOLD 객체 메모리 할당 (0x60 = 96 bytes) LineLookupEntry = (__int64)HeapAlloc(ghTapisrvHeap, 8u, 0x60ui64); v10 = LineLookupEntry; if ( !LineLookupEntry ) { v8 = -2147483580; // 메모리 할당 실패 goto LABEL_81; } // 새 객체 ID 생성 및 할당 v14 = NewObject(v13, LineLookupEntry, 0i64); *(_DWORD *)(v10 + 88) = v14; // offset 0x58: 객체 ID 저장 if ( !v14 ) { LODWORD(LineLookupEntry) = ServerFree((LPVOID)v10); goto LABEL_9; } // ... // GOLD 객체 매직 넘버 설정 if ( v10 ) { *(_DWORD *)v10 = 1196379204; // 0x474F4C44 = 'GOLD' // 컨텍스트의 다이얼로그 인스턴스 리스트에 추가 v36 = *(_QWORD *)(v6 + 184); *(_QWORD *)(v10 + 80) = v36; // 다음 포인터 if ( v36 ) *(_QWORD *)(v36 + 72) = v10; // 이전 포인터 *(_QWORD *)(v6 + 184) = v10; // 리스트 헤드 업데이트 // 객체 ID를 출력 파라미터로 반환 LODWORD(LineLookupEntry) = *(_DWORD *)(v10 + 88); a2[8] = LineLookupEntry; } // ... }

__int64 __fastcall FreeDialogInstance(unsigned __int64 a1, unsigned int *a2) { _DWORD *v4; // GOLD 객체 포인터 // 객체 참조 획득 v4 = (_DWORD *)ReferenceObject(a1, a2[2], 1196379204i64); // 'GOLD' 매직 v82 = v4; result = TRACELogPrint(524290i64, "FreeDialogInstance: enter, pDlgInst=x%p", v4); // ★ 매직 넘버 변경 (해제 표시) if ( *v4 == 1196379204 ) // 0x474F4C44 = 'GOLD' *v4 = 1280724553; // 0x4C495549 = 'UIIL' else *a2 = -2147483576; // ... (중간 로직 생략) LABEL_146: FreeLibrary(*((HMODULE *)v4 + 3)); *a2 = a2[3]; LABEL_149: // 배타적 접근 획득 if ( WaitForExclusiveClientAccess(a1) ) { // 링크드 리스트에서 제거 v64 = *((_QWORD *)v4 + 10); // 다음 객체 if ( v64 ) { *(_QWORD *)(v64 + 72) = *((_QWORD *)v4 + 9); // 다음->이전 = 현재->이전 v64 = *((_QWORD *)v4 + 10); } v65 = *((_QWORD *)v4 + 9); // 이전 객체 if ( v65 ) { *(_QWORD *)(v65 + 80) = v64; // 이전->다음 = 현재->다음 } else if ( *((_QWORD *)v4 + 3) ) { *(_QWORD *)(a1 + 184) = v64; // 리스트 헤드 업데이트 } else { *(_QWORD *)(a1 + 192) = v64; } LeaveCriticalSection((LPCRITICAL_SECTION)gLockTable + ((unsigned int)gdwPointerToLockTableIndexBits & (a1 >> 4))); } // ★ 취약점: DereferenceObject만 호출하고 실제 해제는 참조 카운트가 0이 될 때 발생 // 문제는 다른 컨텍스트가 이 객체를 참조하고 있어도 해제될 수 있다는 점! return DereferenceObject(v63, a2[2], 2i64); }

// TRequestMakeCall 함수는 다음 레지스트리 키를 읽어 힙에 할당한다: // HKCU\Software\Microsoft\Windows\CurrentVersion\Telephony\HandoffPriorities // Value: RequestMakeCall (REG_BINARY) LONG TRequestMakeCall(...) { HKEY hKey; DWORD dwSize; LPVOID lpBuffer; // 레지스트리 키 열기 if (RegOpenKeyExW(HKEY_CURRENT_USER, L"Software\\Microsoft\\Windows\\CurrentVersion\\Telephony\\HandoffPriorities", 0, KEY_READ, &hKey) == ERROR_SUCCESS) { // 값 크기 확인 RegQueryValueExW(hKey, L"RequestMakeCall", NULL, NULL, NULL, &dwSize); // ★ 힙에 버퍼 할당 (크기와 내용을 사용자가 제어 가능!) lpBuffer = HeapAlloc(ghTapisrvHeap, 0, dwSize); // 레지스트리 값을 힙 버퍼로 복사 RegQueryValueExW(hKey, L"RequestMakeCall", NULL, NULL, lpBuffer, &dwSize); // ... 이후 로직에서 lpBuffer 사용 ... RegCloseKey(hKey); } return 0; }

LONG TUISPIDLLCallback(PTAPI_CONTEXT pContext, DWORD* pParams) { DWORD dwMagic = pParams[1]; // offset 0x04: 비교용 매직 값 DWORD dwCase = pParams[2]; // offset 0x08: case 선택자 // ★ Dangling Pointer 접근! // Worker 컨텍스트의 GOLD 객체 포인터 (이미 해제되었을 수 있음) PGOLD_OBJECT pGold = pContext->pGoldObject; if (dwCase == 3) { // offset 0x0E의 매직 값 비교 if (pGold->dwMagic == dwMagic) { // ★ offset 0x1E의 함수 포인터 획득 PVOID pfnFunc = *(PVOID*)((BYTE*)pGold + 0x1E); // ★ 공격자가 제어하는 함수 호출! // CFG(Control Flow Guard)는 Win32 API 함수는 통과시킴 DWORD result = ((PFUNC)pfnFunc)( pParams[3], // 첫 번째 인자 pParams[4], // 두 번째 인자 pParams[5], // 세 번째 인자 pParams[6], // 네 번째 인자 pParams[7] // 다섯 번째 인자 ); // 결과를 RPC 버퍼에 저장 (정보 유출) *(DWORD*)pParams = result; } } return 0; } ``` **TUISPIDLLCallback 호출 흐름:** ``` [그림 4] TUISPIDLLCallback UAF 트리거 메커니즘 1. ClientRequest → gaFuncs[0x02] → TUISPIDLLCallback 2. pContext->pGoldObject 참조 (Dangling Pointer) 3. offset 0x0E: 매직 값 비교 (0x40000018) 4. offset 0x1E: 함수 포인터 획득 5. 함수 포인터 호출 → Win32 API (CFG 통과) 6. 반환값을 RPC 버퍼에 저장 → 정보 유출

┌─────────────────┐ CVE-2024-26230 ┌─────────────────────┐ │ 일반 사용자 │ ────────────────────► │ NETWORK SERVICE │ │ (Low IL) │ UAF + DLL Load │ (Medium IL) │ └─────────────────┘ └──────────┬──────────┘ │ SeImpersonatePrivilege │ ▼ ┌─────────────────────┐ │ NT AUTHORITY\ │ │ SYSTEM │ │ (High IL) │ └─────────────────────┘

# PrintSpoofer 사용 예시 C:\> whoami nt authority\network service C:\> PrintSpoofer.exe -i -c cmd [+] Impersonating SYSTEM... C:\> whoami nt authority\system