作為IE的接替者,Edge瀏覽器被微軟寄予厚望。除技術(shù)的升級(jí)和擴(kuò)展功能之外,安全也是微軟重點(diǎn)投入的領(lǐng)域。沙盒的引入極大地增強(qiáng)了瀏覽器抵御攻擊的能力,但在永無(wú)休戰(zhàn)的網(wǎng)絡(luò)攻防戰(zhàn)場(chǎng),沒(méi)有永恒的安全,只有及早發(fā)現(xiàn)漏洞才能無(wú)懼攻擊。
在8月28日舉辦的互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)(CSS 2018)騰訊安全探索論壇(TSec)上,來(lái)自騰訊安全湛瀘實(shí)驗(yàn)室的高級(jí)安全研究員Rancho Han和陳楠在議題《打破Win10嘆息之壁:利用3D加速突破Edg沙盒》中,展示了團(tuán)隊(duì)在Edge瀏覽器漏洞挖掘、Windows內(nèi)核研究方面的最新成果。憑借在微軟內(nèi)核上的深度研究,該議題獲得TSec專業(yè)獎(jiǎng)。
(騰訊安全湛瀘實(shí)驗(yàn)室高級(jí)安全研究員Rancho Han、陳楠在TSec 2018上)
Win32k filter繞過(guò)之路被堵死后 3D渲染接口成新隱患
沙盒也稱沙箱(sandbox),是一種計(jì)算機(jī)安全領(lǐng)域的虛擬技術(shù)。當(dāng)某個(gè)程序試圖發(fā)揮作用時(shí),安全軟件可以先讓它在沙盒中運(yùn)行,如果含有惡意行為,則禁止程序的進(jìn)一步運(yùn)行,從而避免其可能對(duì)系統(tǒng)造成的危害。微軟Edge瀏覽器的沙盒,裁減掉許多對(duì)系統(tǒng)資源、接口和設(shè)備的訪問(wèn)能力,為系統(tǒng)筑起了一道高墻。
但沙盒的存在并不會(huì)讓Edge瀏覽器 “高枕無(wú)憂”,只不過(guò)又開(kāi)拓了一個(gè)攻防的新戰(zhàn)場(chǎng)。在今年4月的荷蘭阿姆斯特丹舉行的HITB大會(huì)上,Rancho Han首次公布了三種不同的沙盒逃逸方式,及一個(gè)罕見(jiàn)的Win32k filter的繞過(guò)方法,獲得微軟官方致謝。但同時(shí)微軟方面也在大會(huì)上發(fā)聲,“Win32k filter的利用到此為止了”。
Rancho Han對(duì)此表示,自此之后,隨著被Win32k filter過(guò)濾的列表不斷擴(kuò)大,想要再通過(guò)Win32k訪問(wèn)系統(tǒng)內(nèi)核的路已經(jīng)逐漸被堵死。但是在研究函數(shù)調(diào)用的過(guò)程中,研究人員發(fā)現(xiàn)了一個(gè)有意思的現(xiàn)象,很多NtGdiDDI打頭的函數(shù)其功能是由Windows DirectX的圖形內(nèi)核子系統(tǒng)實(shí)現(xiàn)的。研究人員敏銳的意識(shí)到,DirectX可能是一個(gè)突破口。
陳楠解釋到,DirectX作為微軟提供的3D渲染接口,必須與顯卡打交道,那么DirectX內(nèi)核的一部分則屬于Windows顯示驅(qū)動(dòng)框架。這樣一來(lái)系統(tǒng)內(nèi)核則必須與接口和驅(qū)動(dòng)產(chǎn)生聯(lián)系,這些驅(qū)動(dòng)既有微軟提供的也有第三方的,至此,新的安全隱患已經(jīng)在地平線上隱隱浮現(xiàn)了。
突破沙盒的最后一擊:編號(hào)CVE-2018-0977漏洞
研究人員詳細(xì)地分析了DirectX kernel、MMS系列(MMS1和MMS2)、Miniport driver以及第三方驅(qū)動(dòng)、接口的攻擊面。以此為基礎(chǔ),開(kāi)展進(jìn)一步的隨機(jī)化和模糊測(cè)試。
隨后,Rancho Han介紹了一個(gè)去年10月底模糊測(cè)試檢出的漏洞案例,編號(hào)CVE-2018-0977。研究過(guò)程中,經(jīng)過(guò)特殊構(gòu)造的條件和屬性,當(dāng)用戶給子系統(tǒng)發(fā)送命令時(shí),子系統(tǒng)在將命令轉(zhuǎn)發(fā)給系統(tǒng)進(jìn)程的時(shí)候Basic Render Engine(基本渲染引擎)對(duì)用戶參數(shù)缺少有效的校驗(yàn),這導(dǎo)致內(nèi)核訪問(wèn)無(wú)效內(nèi)存造成一次系統(tǒng)崩潰。此后,還相繼發(fā)現(xiàn)了三個(gè)相似的漏洞。
但是,找到漏洞并不意味著可以直接以此突破Edge沙盒,還需要在系統(tǒng)重重防御之下構(gòu)建一個(gè)苛刻的攻擊環(huán)境。沙盒高墻一側(cè)的系統(tǒng)資源已經(jīng)近在咫尺了,而抵達(dá)的路徑卻隱匿不見(jiàn)。模糊測(cè)試是在用戶進(jìn)程,但漏洞路徑執(zhí)行和崩潰卻是在系統(tǒng)進(jìn)程。這時(shí),還需要另一個(gè)漏洞來(lái)引導(dǎo)研究人員找到道路入口。
研究人員重新回溯已經(jīng)檢測(cè)出的漏洞,發(fā)現(xiàn)1709號(hào)測(cè)試結(jié)果新增的API(應(yīng)用程序編程接口)在安全上考慮不周。陳楠介紹到,團(tuán)隊(duì)以此為突破口實(shí)現(xiàn)了在內(nèi)核中分配任意大小的池內(nèi)存,并且將池內(nèi)存中的內(nèi)容完整的讀取出來(lái)。
最后,陳楠揭曉了其團(tuán)隊(duì)如何跨越了突破沙盒的“最后一公里”——先觸發(fā)一次信息泄露然后獲得NT的地址,并計(jì)算出ROP in kernel的指令地址。將ROP數(shù)據(jù)布置好,再觸發(fā)一次信息泄露,獲得布置的內(nèi)核數(shù)據(jù)地址。將這個(gè)地址填充到CVE-2018-0977漏洞,觸發(fā)之后便可實(shí)現(xiàn)在內(nèi)核進(jìn)行ROP,實(shí)現(xiàn)對(duì)系統(tǒng)資源的改寫,最突破了Edge的沙盒。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- GitLab將告別中國(guó)區(qū)用戶:是時(shí)候選擇新的“極狐”或保護(hù)賬號(hào)了
- 蘋果明年推至少22款新品,阿里非洲首站啟動(dòng),科技新品盛宴拉開(kāi)帷幕
- SUSE預(yù)測(cè):未來(lái)私有AI平臺(tái)崛起,讓我們共同見(jiàn)證AI的未來(lái)
- AI伴侶“小奇”:奇富科技重塑金融服務(wù)體驗(yàn)的探索之作
- 揭秘軟銀孫正義神秘芯片計(jì)劃:打造超越NVIDIA的未來(lái)科技新星
- 大模型創(chuàng)企星辰資本獲數(shù)億融資,騰訊啟明等巨頭入局,人工智能新篇章開(kāi)啟
- 大模型獨(dú)角獸階躍星辰融資新動(dòng)態(tài):數(shù)億美金B(yǎng)輪,揭秘星辰未來(lái)之路
- 哪吒汽車創(chuàng)始人資金遭凍結(jié),1986萬(wàn)元股權(quán)風(fēng)波引關(guān)注
- 本田與日產(chǎn)醞釀合并:明年6月敲定協(xié)議,新公司社長(zhǎng)待本田推薦
- 金融大模型新突破:百川智能Baichuan4-Finance引領(lǐng)行業(yè),準(zhǔn)確率領(lǐng)先GPT-4近20%,變革金融業(yè)未來(lái)
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。