以3D加速突破Edge沙盒 騰訊安全湛瀘實驗室研究成果獲TSec專業(yè)獎

作為IE的接替者，Edge瀏覽器被微軟寄予厚望。除技術(shù)的升級和擴展功能之外，安全也是微軟重點投入的領(lǐng)域。沙盒的引入極大地增強了瀏覽器抵御攻擊的能力，但在永無休戰(zhàn)的網(wǎng)絡(luò)攻防戰(zhàn)場，沒有永恒的安全，只有及早發(fā)現(xiàn)漏洞才能無懼攻擊。

在8月28日舉辦的互聯(lián)網(wǎng)安全領(lǐng)袖峰會(CSS 2018)騰訊安全探索論壇(TSec)上，來自騰訊安全湛瀘實驗室的高級安全研究員Rancho Han和陳楠在議題《打破Win10嘆息之壁：利用3D加速突破Edg沙盒》中，展示了團隊在Edge瀏覽器漏洞挖掘、Windows內(nèi)核研究方面的最新成果。憑借在微軟內(nèi)核上的深度研究，該議題獲得TSec專業(yè)獎。

(騰訊安全湛瀘實驗室高級安全研究員Rancho Han、陳楠在TSec 2018上)

Win32k filter繞過之路被堵死后 3D渲染接口成新隱患

沙盒也稱沙箱(sandbox)，是一種計算機安全領(lǐng)域的虛擬技術(shù)。當(dāng)某個程序試圖發(fā)揮作用時，安全軟件可以先讓它在沙盒中運行，如果含有惡意行為，則禁止程序的進一步運行，從而避免其可能對系統(tǒng)造成的危害。微軟Edge瀏覽器的沙盒，裁減掉許多對系統(tǒng)資源、接口和設(shè)備的訪問能力，為系統(tǒng)筑起了一道高墻。

但沙盒的存在并不會讓Edge瀏覽器 “高枕無憂”，只不過又開拓了一個攻防的新戰(zhàn)場。在今年4月的荷蘭阿姆斯特丹舉行的HITB大會上，Rancho Han首次公布了三種不同的沙盒逃逸方式，及一個罕見的Win32k filter的繞過方法，獲得微軟官方致謝。但同時微軟方面也在大會上發(fā)聲，“Win32k filter的利用到此為止了”。

Rancho Han對此表示，自此之后，隨著被Win32k filter過濾的列表不斷擴大，想要再通過Win32k訪問系統(tǒng)內(nèi)核的路已經(jīng)逐漸被堵死。但是在研究函數(shù)調(diào)用的過程中，研究人員發(fā)現(xiàn)了一個有意思的現(xiàn)象，很多NtGdiDDI打頭的函數(shù)其功能是由Windows DirectX的圖形內(nèi)核子系統(tǒng)實現(xiàn)的。研究人員敏銳的意識到，DirectX可能是一個突破口。

陳楠解釋到，DirectX作為微軟提供的3D渲染接口，必須與顯卡打交道，那么DirectX內(nèi)核的一部分則屬于Windows顯示驅(qū)動框架。這樣一來系統(tǒng)內(nèi)核則必須與接口和驅(qū)動產(chǎn)生聯(lián)系，這些驅(qū)動既有微軟提供的也有第三方的，至此，新的安全隱患已經(jīng)在地平線上隱隱浮現(xiàn)了。

突破沙盒的最后一擊：編號CVE-2018-0977漏洞

研究人員詳細地分析了DirectX kernel、MMS系列(MMS1和MMS2)、Miniport driver以及第三方驅(qū)動、接口的攻擊面。以此為基礎(chǔ)，開展進一步的隨機化和模糊測試。

隨后，Rancho Han介紹了一個去年10月底模糊測試檢出的漏洞案例，編號CVE-2018-0977。研究過程中，經(jīng)過特殊構(gòu)造的條件和屬性，當(dāng)用戶給子系統(tǒng)發(fā)送命令時，子系統(tǒng)在將命令轉(zhuǎn)發(fā)給系統(tǒng)進程的時候Basic Render Engine(基本渲染引擎)對用戶參數(shù)缺少有效的校驗，這導(dǎo)致內(nèi)核訪問無效內(nèi)存造成一次系統(tǒng)崩潰。此后，還相繼發(fā)現(xiàn)了三個相似的漏洞。

但是，找到漏洞并不意味著可以直接以此突破Edge沙盒，還需要在系統(tǒng)重重防御之下構(gòu)建一個苛刻的攻擊環(huán)境。沙盒高墻一側(cè)的系統(tǒng)資源已經(jīng)近在咫尺了，而抵達的路徑卻隱匿不見。模糊測試是在用戶進程，但漏洞路徑執(zhí)行和崩潰卻是在系統(tǒng)進程。這時，還需要另一個漏洞來引導(dǎo)研究人員找到道路入口。

研究人員重新回溯已經(jīng)檢測出的漏洞，發(fā)現(xiàn)1709號測試結(jié)果新增的API(應(yīng)用程序編程接口)在安全上考慮不周。陳楠介紹到，團隊以此為突破口實現(xiàn)了在內(nèi)核中分配任意大小的池內(nèi)存，并且將池內(nèi)存中的內(nèi)容完整的讀取出來。

最后，陳楠揭曉了其團隊如何跨越了突破沙盒的“最后一公里”——先觸發(fā)一次信息泄露然后獲得NT的地址，并計算出ROP in kernel的指令地址。將ROP數(shù)據(jù)布置好，再觸發(fā)一次信息泄露，獲得布置的內(nèi)核數(shù)據(jù)地址。將這個地址填充到CVE-2018-0977漏洞，觸發(fā)之后便可實現(xiàn)在內(nèi)核進行ROP，實現(xiàn)對系統(tǒng)資源的改寫，最突破了Edge的沙盒。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。