Dell dbutil_2_3.sys 드라이버에서 발견된 CVE-2021-21551 취약점은 Windows Kernel Exploitation에 좋은 학습 자료다. 일반 사용자 권한으로 커널 메모리 읽기, 쓰기가 가능하며 이를 통해 SYSTEM으로 권한상승이 가능하다. 취약점 익스플로잇에 특별한 기교가 필요하지 않기 때문인지 취약점 분석과 익스플로잇 작성 관련 글을 많이 볼 수 있다.
취약점은 SentinelOne과 CrowdStrike에서 동시에 제보한 것으로 보인다. Sentinel One은 POC를 공개하지 않았다.
CrowdStrike 팀은 PTE(Page Table Entry)를 공략해 쉘코드를 실행하는 방법으로 익스플로잇 했다. 아래 2개 글 내용은 거의 같다. 같은 사람(Connor McGarr)이 썼기 때문이다.
- CVE-2021-21551: Learning Through Exploitation
- Exploit Development: CVE-2021-21551 - Dell ‘dbutil_2_3.sys’ Kernel Exploit Writeup | Home (connormcgarr.github.io)
VoidSec 팀도 취약점 설명과 익스플로잇을 공개했다. _SEP_TOKEN_PRIVILEGES 구조체 필드(Present, Enabled, EnabledByDefault)를 모두 0xFFFFFFFFFFFFFFFF로 덮어 쓰는 방법으로 권한상승된 관리자 권한을 획득했다. 여기엔 write primitive만 사용하기 때문에 익스플로잇이 좀 더 쉽다.
- Reverse Engineering & Exploiting Dell CVE-2021-21551 - VoidSec
- Exploit-Development/windows/x64/kernel/dell_dbutil_v.2.3
CVE-2021-21551 취약점 관련한 여러 리소스를 찾을 수 있었다. 어떤 방식으로 익스플로잇 코드를 구성했는지 비교해보는 것도 좋을 듯 싶다.
- CVE-2021-21551: An Extended Writeup on a Vulnerable Kernel Driver
- https://github.com/mzakocs/CVE-2021-21551-POC
- https://github.com/nanabingies/CVE-2021-21551
- https://github.com/waldo-irc/CVE-2021-21551
- https://github.com/ch3rn0byl/CVE-2021-21551
- https://github.com/ihack4falafel/Dell-Driver-EoP-CVE-2021-21551
