滚动快讯 Wor(l)d智能科技产品&创新盈利商机-.worldgn上海团队 乐蓓儿奥尔夫全国巡回师训营浙江温州站NO.873 没有上海户口也能接受好教育 外联出国为我们开路 第三届国际性艺术比赛2019报名日期:即日起至2019年3月15日止 偶然中的必然“SKP现象”成消费升级的典型案例 飞机坠机,1男子和7名空姐流落荒岛,8年之后被救时,却有30多人 新国标“全面封杀”电动车?做好这几件事,你家的小电驴就可以安安稳稳上路了 芝华士携手全球品牌代言人吴亦凡演绎调和之旅 双耀健康管理咨询有限公司开业庆典2018年11月18日在燕郊举行 中华未来之星 与 GJTVZB战略合作签约仪式在京举行
 当前位置:科 技
 
以3D加速突破Edge沙盒 腾讯安全湛泸实验室研究成果获TSec专业奖
发布时间:2018-9-19 10:08:10  浏览次数:273

作为IE的接替者,Edge浏览器被微软寄予厚望。除技术的升级和扩展功能之外,安全也是微软重点投入的领域。沙盒的引入极大地增强了浏览器抵御攻击的能力,但在永无休战的网络攻防战场,没有永恒的安全,只有及早发现漏洞才能无惧攻击。

在8月28日举办的互联网安全领袖峰会(CSS 2018)腾讯安全探索论坛(TSec)上,来自腾讯安全湛泸实验室的高级安全研究员Rancho Han和陈楠在议题《打破Win10叹息之壁:利用3D加速突破Edg沙盒》中,展示了团队在Edge浏览器漏洞挖掘、Windows内核研究方面的最新成果。凭借在微软内核上的深度研究,该议题获得TSec专业奖。

(腾讯安全湛泸实验室高级安全研究员Rancho Han、陈楠在TSec 2018上)

Win32k filter绕过之路被堵死后 3D渲染接口成新隐患

沙盒也称沙箱(sandbox),是一种计算机安全领域的虚拟技术。当某个程序试图发挥作用时,安全软件可以先让它在沙盒中运行,如果含有恶意行为,则禁止程序的进一步运行,从而避免其可能对系统造成的危害。微软Edge浏览器的沙盒,裁减掉许多对系统资源、接口和设备的访问能力,为系统筑起了一道高墙。

但沙盒的存在并不会让Edge浏览器 “高枕无忧”,只不过又开拓了一个攻防的新战场。在今年4月的荷兰阿姆斯特丹举行的HITB大会上,Rancho Han首次公布了三种不同的沙盒逃逸方式,及一个罕见的Win32k filter的绕过方法,获得微软官方致谢。但同时微软方面也在大会上发声,“Win32k filter的利用到此为止了”。

Rancho Han对此表示,自此之后,随着被Win32k filter过滤的列表不断扩大,想要再通过Win32k访问系统内核的路已经逐渐被堵死。但是在研究函数调用的过程中,研究人员发现了一个有意思的现象,很多NtGdiDDI打头的函数其功能是由Windows DirectX的图形内核子系统实现的。研究人员敏锐的意识到,DirectX可能是一个突破口。

陈楠解释到,DirectX作为微软提供的3D渲染接口,必须与显卡打交道,那么DirectX内核的一部分则属于Windows显示驱动框架。这样一来系统内核则必须与接口和驱动产生联系,这些驱动既有微软提供的也有第三方的,至此,新的安全隐患已经在地平线上隐隐浮现了。

突破沙盒的最后一击:编号CVE-2018-0977漏洞

研究人员详细地分析了DirectX kernel、MMS系列(MMS1和MMS2)、Miniport driver以及第三方驱动、接口的攻击面。以此为基础,开展进一步的随机化和模糊测试。

随后,Rancho Han介绍了一个去年10月底模糊测试检出的漏洞案例,编号CVE-2018-0977。研究过程中,经过特殊构造的条件和属性,当用户给子系统发送命令时,子系统在将命令转发给系统进程的时候Basic Render Engine(基本渲染引擎)对用户参数缺少有效的校验,这导致内核访问无效内存造成一次系统崩溃。此后,还相继发现了三个相似的漏洞。

但是,找到漏洞并不意味着可以直接以此突破Edge沙盒,还需要在系统重重防御之下构建一个苛刻的攻击环境。沙盒高墙一侧的系统资源已经近在咫尺了,而抵达的路径却隐匿不见。模糊测试是在用户进程,但漏洞路径执行和崩溃却是在系统进程。这时,还需要另一个漏洞来引导研究人员找到道路入口。

研究人员重新回溯已经检测出的漏洞,发现1709号测试结果新增的API(应用程序编程接口)在安全上考虑不周。陈楠介绍到,团队以此为突破口实现了在内核中分配任意大小的池内存,并且将池内存中的内容完整的读取出来。

最后,陈楠揭晓了其团队如何跨越了突破沙盒的“最后一公里”——先触发一次信息泄露然后获得NT的地址,并计算出ROP in kernel的指令地址。将ROP数据布置好,再触发一次信息泄露,获得布置的内核数据地址。将这个地址填充到CVE-2018-0977漏洞,触发之后便可实现在内核进行ROP,实现对系统资源的改写,最突破了Edge的沙盒。

 

      

上一篇: 辅助监管、注重实效,2018网络安全周腾讯安全首推智慧共治平台
下一篇: 春蚕网络科技有限公司-一个安全健康绿色的一站式在线交易平台

 
推荐资讯
· 知诚会承办《2018年第二期科技社
· 知诚会会长任壮荣获“北京市优秀社会
· 知诚会会长任壮同志荣获第九批首都市
· 知诚会主办《非营利组织免税资格政策
· 知诚会作为北京市特色商会应邀参加工
· “知诚社会组织财税一体化系统2.0
· 知诚会“学习型、支持型、示范型”党
· 知诚会秘书长受邀参加“一带一路”国
· 知诚会“三型”党组织党建知识竞赛启
· 旺孕堂精品家政公司“告别夏天”游之
 
相关资讯
· 腾讯安全亮相2018HIMSS高峰
· 大数据时代隐私泄露呈高发趋势&nb
· 腾讯电脑管家屡创佳绩 T
· 验真防伪,一码完成 腾讯
· “Unname1989”勒索病毒终
· WannaCry病毒再袭制造行业&
· AVC测试最新报告:腾讯电脑管家斩
· 佛山市蠢材科技有限公司做客创新中国
· WannaMiner最新变种呈蠕虫
· 腾讯智慧安全:2018年最活跃的S
 
联系我们
 
品牌宣传编辑部
客服联系电话:010-52487360
QQ:840573529
业务咨询电话:010-52487360
QQ:593634808
投稿、投诉邮箱:lucky.27@126.com
QQ:840573529
关于我们 广告评选 联系我们 品牌指数 随机投稿 网编人员 网编招聘 网站合作
Copyright 2003-2010 品牌网 Inc All Rights Reserved
京ICP备10040773号