以3D加速突破Edge沙盒 騰訊安全湛瀘實驗室研究成果獲TSec專業(yè)獎

作為IE的接替者，Edge瀏覽器被微軟寄予厚望。除技術的升級和擴展功能之外，安全也是微軟重點投入的領域。沙盒的引入極大地增強了瀏覽器抵御攻擊的能力，但在永無休戰(zhàn)的網絡攻防戰(zhàn)場，沒有永恒的安全，只有及早發(fā)現(xiàn)漏洞才能無懼攻擊。

在8月28日舉辦的互聯(lián)網安全領袖峰會(CSS 2018)騰訊安全探索論壇(TSec)上，來自騰訊安全湛瀘實驗室的高級安全研究員Rancho Han和陳楠在議題《打破Win10嘆息之壁：利用3D加速突破Edg沙盒》中，展示了團隊在Edge瀏覽器漏洞挖掘、Windows內核研究方面的最新成果。憑借在微軟內核上的深度研究，該議題獲得TSec專業(yè)獎。

(騰訊安全湛瀘實驗室高級安全研究員Rancho Han、陳楠在TSec 2018上)

Win32k filter繞過之路被堵死后 3D渲染接口成新隱患

沙盒也稱沙箱(sandbox)，是一種計算機安全領域的虛擬技術。當某個程序試圖發(fā)揮作用時，安全軟件可以先讓它在沙盒中運行，如果含有惡意行為，則禁止程序的進一步運行，從而避免其可能對系統(tǒng)造成的危害。微軟Edge瀏覽器的沙盒，裁減掉許多對系統(tǒng)資源、接口和設備的訪問能力，為系統(tǒng)筑起了一道高墻。

但沙盒的存在并不會讓Edge瀏覽器 “高枕無憂”，只不過又開拓了一個攻防的新戰(zhàn)場。在今年4月的荷蘭阿姆斯特丹舉行的HITB大會上，Rancho Han首次公布了三種不同的沙盒逃逸方式，及一個罕見的Win32k filter的繞過方法，獲得微軟官方致謝。但同時微軟方面也在大會上發(fā)聲，“Win32k filter的利用到此為止了”。

Rancho Han對此表示，自此之后，隨著被Win32k filter過濾的列表不斷擴大，想要再通過Win32k訪問系統(tǒng)內核的路已經逐漸被堵死。但是在研究函數(shù)調用的過程中，研究人員發(fā)現(xiàn)了一個有意思的現(xiàn)象，很多NtGdiDDI打頭的函數(shù)其功能是由Windows DirectX的圖形內核子系統(tǒng)實現(xiàn)的。研究人員敏銳的意識到，DirectX可能是一個突破口。

陳楠解釋到，DirectX作為微軟提供的3D渲染接口，必須與顯卡打交道，那么DirectX內核的一部分則屬于Windows顯示驅動框架。這樣一來系統(tǒng)內核則必須與接口和驅動產生聯(lián)系，這些驅動既有微軟提供的也有第三方的，至此，新的安全隱患已經在地平線上隱隱浮現(xiàn)了。

突破沙盒的最后一擊：編號CVE-2018-0977漏洞

研究人員詳細地分析了DirectX kernel、MMS系列(MMS1和MMS2)、Miniport driver以及第三方驅動、接口的攻擊面。以此為基礎，開展進一步的隨機化和模糊測試。

隨后，Rancho Han介紹了一個去年10月底模糊測試檢出的漏洞案例，編號CVE-2018-0977。研究過程中，經過特殊構造的條件和屬性，當用戶給子系統(tǒng)發(fā)送命令時，子系統(tǒng)在將命令轉發(fā)給系統(tǒng)進程的時候Basic Render Engine(基本渲染引擎)對用戶參數(shù)缺少有效的校驗，這導致內核訪問無效內存造成一次系統(tǒng)崩潰。此后，還相繼發(fā)現(xiàn)了三個相似的漏洞。

但是，找到漏洞并不意味著可以直接以此突破Edge沙盒，還需要在系統(tǒng)重重防御之下構建一個苛刻的攻擊環(huán)境。沙盒高墻一側的系統(tǒng)資源已經近在咫尺了，而抵達的路徑卻隱匿不見。模糊測試是在用戶進程，但漏洞路徑執(zhí)行和崩潰卻是在系統(tǒng)進程。這時，還需要另一個漏洞來引導研究人員找到道路入口。

研究人員重新回溯已經檢測出的漏洞，發(fā)現(xiàn)1709號測試結果新增的API(應用程序編程接口)在安全上考慮不周。陳楠介紹到，團隊以此為突破口實現(xiàn)了在內核中分配任意大小的池內存，并且將池內存中的內容完整的讀取出來。

最后，陳楠揭曉了其團隊如何跨越了突破沙盒的“最后一公里”——先觸發(fā)一次信息泄露然后獲得NT的地址，并計算出ROP in kernel的指令地址。將ROP數(shù)據布置好，再觸發(fā)一次信息泄露，獲得布置的內核數(shù)據地址。將這個地址填充到CVE-2018-0977漏洞，觸發(fā)之后便可實現(xiàn)在內核進行ROP，實現(xiàn)對系統(tǒng)資源的改寫，最突破了Edge的沙盒。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。