作为IE的接班人,Edge浏览器被微软寄予厚望。
除了技术升级和功能扩展之外,安全也是微软重点投入的领域。
沙箱的引入,大大增强了浏览器抵御攻击的能力。
然而,在永无休止的网络攻防战场上,没有永恒的安全。
只有及早发现漏洞,才能无惧攻击。
在8月28日举办的互联网安全领袖峰会(CSS)腾讯安全探索论坛(TSec)上,腾讯安全展路实验室高级安全研究员Rancho Han和陈楠展示了团队在主题《打破Win10叹息之壁:利用3D加速突破Edg沙盒》 Edge中的最新成果浏览器漏洞挖掘和Windows内核研究。
凭借对微软内核的深入研究,该课题获得了TSec专业奖。
(TSec 腾讯安全展望实验室高级安全研究员 Rancho Han 和 Chen Nan)Win32k 过滤器绕过被阻止后,3D 渲染接口成为新的危害。
沙箱又称沙箱,是计算机安全领域虚拟技术的一种。
当程序尝试运行时,安全软件可以首先让它在沙箱中运行。
如果其中包含恶意行为,它将禁止程序的进一步运行,以避免对系统可能造??成的危害。
Microsoft Edge浏览器的沙箱减少了很多对系统资源、接口和设备的访问能力,为系统筑起了一道高墙。
不过,沙箱的存在并不会让Edge浏览器“高枕无忧”,反而会开辟攻防新战场。
今年4月在荷兰阿姆斯特丹举行的HITB会议上,Rancho Han首次公布了三种不同的沙箱逃逸方法和一种罕见的Win32k过滤器绕过方法,并获得了微软的官方感谢。
但与此同时,微软也在会议上表示,“Win32k过滤器的使用到此结束”。
Rancho Han表示,此后,随着Win32k过滤器过滤的列表不断扩大,通过Win32k访问系统内核的方式逐渐被封锁。
然而,在研究函数调用的过程中,研究人员发现了一个有趣的现象。
许多以NtGdiDDI开头的函数的功能都是由Windows DirectX的图形内核子系统实现的。
研究人员敏锐地意识到 DirectX 可能是一个突破。
陈楠解释道,DirectX作为微软提供的3D渲染接口,必须与显卡打交道,因此DirectX内核的一部分属于Windows显示驱动框架。
因此,系统内核必须与接口和驱动程序相连接。
这些驱动程序均由 Microsoft 和第三方提供。
此时,新的安全风险已经迫在眉睫。
突破沙箱的最后一击:编号CVE-漏洞研究人员详细分析了DirectX内核、MMS系列(MMS1和MMS2)、Miniport驱动程序以及第三方驱动程序和接口的攻击面。
在此基础上,进一步进行随机化和模糊测试。
随后Rancho Han介绍了去年10月底通过模糊测试检测到的漏洞案例,编号为CVE-。
在研究过程中,通过专门构造的条件和属性,当用户向子系统发送命令时,基础渲染引擎在子系统将命令转发给系统进程时缺乏对用户参数的有效验证。
这会导致内核访问无效内存,从而导致系统崩溃。
此后,又发现了三个类似的漏洞。
不过,找到漏洞并不意味着可以直接攻破Edge沙箱。
还需要在系统的重重防御下构建恶劣的攻击环境。
沙箱墙一侧的系统资源触手可及,但通往它们的路径是隐藏的。
模糊测试是在用户进程中,但漏洞路径执行和崩溃是在系统进程中。
此时,需要另一个漏洞来引导研究人员到达道路入口。
研究人员重新追踪已经检测到的漏洞,发现Discovery测试结果中添加的新API(应用程序编程接口)在安全性方面并未充分考虑。
陈楠介绍,团队以此为突破口,可以在内核中分配任意大小的池内存,并完整读取池内存的内容。
最后,陈楠透露了他的团队如何跨过沙箱突破的“最后一公里”——首先触发信息泄露,然后获取NT的地址,并计算出内核中ROP的指令地址。
整理ROP数据,触发信息泄露,获取整理后的内核数据地址。
将此地址填充到CVE-漏洞中,触发后可以在内核中执行ROP并重写系统资源,突破Edge沙箱。