繞過微軟控制流防護(CFG)保護機制
隨著每次新的安全機制的發(fā)布,研究人員和黑客都會想法設(shè)法地找到破解或者通過它的方式,此次CFG也不能例外。
微軟在Win 8.1 Update 3以及Win 10中啟用了一種抵御內(nèi)存泄露攻擊的新機制,即Control Flow Guard(CFG)——控制流防護。這項技術(shù)是為了彌補此前不完美的保護機制,例如地址空間布局隨機化(ASLR)導(dǎo)致了堆噴射的發(fā)展,而數(shù)據(jù)執(zhí)行保護(DEP)造成了漏洞利用代碼中返回導(dǎo)向編程(ROP)技術(shù)的發(fā)展。
百科:控制流防護(CFG)
控制流防護(CFG)作為Win 8.1+的新安全保護機制,其實并不知名。它被用于阻止針對可執(zhí)行文件間接調(diào)用的惡意利用。CFG保護十分高效,同時它是一種編譯器和操作系統(tǒng)相結(jié)合的防護手段。
影響IE,微軟卻不修?
來自云安全公司Bromium的研究人員Jared DeMott周五將發(fā)表一個關(guān)于繞過CFG的演說,DeMott告訴記者,早在8月份的Blackhat舉辦之前,公司就將這個發(fā)現(xiàn)提交給了微軟公司,但是微軟決定不去修復(fù)這個問題,并認(rèn)為這也不值得發(fā)放漏洞獎金。
微軟拒絕對此進行評論。據(jù)DeMott介紹,微軟認(rèn)為這樣的繞過并沒有影響所有系統(tǒng),并且是個很難被利用的攻擊向量:
“微軟說這僅僅影響到64位系統(tǒng)下的32位程序,因此并不影響整個系統(tǒng)。而我的回答則是,IE就是64位系統(tǒng)下的32位程序,如此一來便可以影響瀏覽器。”
這并不是微軟首次公開表示保護機制被繞過不是漏洞,早在2010年Verizon Business發(fā)布了一份報告,詳細(xì)列出了他們的發(fā)現(xiàn)“逃離微軟IE保護模式”,IE7和IE8的保護模式都可以被繞過,攻擊者能提高其用戶權(quán)限。微軟當(dāng)即表示這份報告中發(fā)現(xiàn)的問題并不是一個漏洞,它只是繞過安全防護的一種方法。
研究人員:繞過保護機制的危害也很大
DeMott說這樣的繞過利用了微軟選擇不在CFG中部署Control Flow Integrity(CFI),即控制流完整性。
“當(dāng)CFI執(zhí)行時,它在一個函數(shù)指針調(diào)用以及受到返回地址之前增加了額外檢查,使得這些返回地址都是有效的。而微軟并不認(rèn)為這樣的完整性是十分必要的,CFG僅僅保護了函數(shù)指針,而不檢測返回地址。”
作為一項Visual Studio技術(shù),CFG同時也被內(nèi)置于微軟的新瀏覽器Edge中。而此前CFG的一個繞過已經(jīng)由Core Security的研究人員在三月份發(fā)布。
微軟在一份報告中描述了Edge瀏覽器的安全特性:
“(CFG)編譯檢測代碼會根據(jù)指針地址來進行間接跳轉(zhuǎn),這也就使得攻擊者控制系統(tǒng)程序的過程變得更加的困難。”
內(nèi)存崩潰攻擊:一場捕鼠游戲
DeMott坦言,這種繞過技術(shù)的關(guān)鍵在于攻擊者是否能夠搞崩潰一個返回地址,并切斷導(dǎo)致返回導(dǎo)向編程技術(shù)鏈(ROP)的一系列事件,這是很多內(nèi)存崩潰攻擊的核心所在。Bromium稱之為Stack Desync,依賴于使用不同的函數(shù)調(diào)用協(xié)議。
“當(dāng)你調(diào)用一個函數(shù)指針的時候,系統(tǒng)期望收到的是一個符合標(biāo)準(zhǔn)協(xié)議的指針地址,而程序卻返回一個任意的指針地址。如果你不保護返回地址,對應(yīng)的模塊便會遭到破壞,也就意味著系統(tǒng)所有的操作被暴露出來了,攻擊者便有機會破壞系統(tǒng)堆棧中的數(shù)據(jù),并且當(dāng)系統(tǒng)調(diào)用指針地址的時候,返回的就不是一個有效地址了,而這便是攻擊的前奏。”
這樣的繞過技術(shù)并非不重要的,更有可能成為國家級情報機構(gòu)獲取情報的重要手段。攻擊者可以由此入侵網(wǎng)絡(luò),進行二次攻擊,從而進一步盜竊數(shù)據(jù)并越權(quán)操作。
DeMott總結(jié)道:
“內(nèi)存崩潰攻擊一場新型的捕鼠游戲,所有這些實驗成果,盡管聽起來不是好消息,但是它推動了信息安全行業(yè)整體的發(fā)展,同時也為攻擊者實施攻擊提供了障礙。微軟公司選擇不去修復(fù)這個問題,還認(rèn)為他們已經(jīng)完成了力所能及的一切。除此之外,因為這樣的技術(shù)并非所有人都能夠得到的,微軟認(rèn)為這個問題造成的安全風(fēng)險很低。”
