Linux新漏洞：用罕見(jiàn)方式繞過(guò)ASLR和DEP保護(hù)機(jī)制

最近國(guó)外研究人員公布的一段exp代碼能夠在打完補(bǔ)丁的Fedora等Linux系統(tǒng)上進(jìn)行drive-by攻擊，從而安裝鍵盤(pán)記錄器、后門(mén)和其他惡意軟件。

這次的exp針對(duì)的是GStreamer框架中的一個(gè)內(nèi)存損壞漏洞，GStreamer是個(gè)開(kāi)源多媒體框架，存在于主流的Linux發(fā)行版中。我們都知道，地址空間布局隨機(jī)化(ASLR)和數(shù)據(jù)執(zhí)行保護(hù)(DEP)是linux系統(tǒng)中兩個(gè)安全措施，目的是為了讓軟件exp更難執(zhí)行。但新公布的exp通過(guò)一種罕見(jiàn)的辦法繞過(guò)了這兩種安全措施——國(guó)外媒體還專(zhuān)門(mén)強(qiáng)調(diào)了這個(gè)漏洞的“優(yōu)雅”特色。研究人員寫(xiě)了個(gè)flac多媒體文件，就能達(dá)成漏洞利用!

ASLR是一種針對(duì)緩沖區(qū)溢出的安全保護(hù)技術(shù)，通過(guò)對(duì)堆、棧、共享庫(kù)映射等線(xiàn)性區(qū)布局的隨機(jī)化，通過(guò)增加攻擊者預(yù)測(cè)目的地址的難度，防止攻擊者直接定位攻擊代碼位置，達(dá)到阻止溢出攻擊的目的的一種技術(shù)。而DEP則能夠在內(nèi)存上執(zhí)行額外檢查以幫助防止在系統(tǒng)上運(yùn)行惡意代碼。

無(wú)腳本exp

與傳統(tǒng)的ASLR和DEP繞過(guò)方法不同的是，這個(gè)exp沒(méi)有通過(guò)代碼來(lái)篡改內(nèi)存布局和其他的環(huán)境變量。而是通過(guò)更難的字節(jié)碼排序徹底關(guān)閉保護(hù)。由于不需要JavaScript也不需要其他與內(nèi)存通信的代碼，所以其他攻擊不行的時(shí)候，這種攻擊可能依然可行。

“這個(gè)exp很可笑”，研究員Chris Evans在周一的博文中寫(xiě)道，“但是它證明了無(wú)腳本的exp也是可行的，即便開(kāi)啟了64位的ASLR還是有辦法能夠進(jìn)行讀寫(xiě)內(nèi)存等操作，并且能夠穩(wěn)扎穩(wěn)打地一步一步進(jìn)行攻擊然后獲得控制權(quán)。”

Azimuth Security高級(jí)研究院Dan Rosenberg特別擅長(zhǎng)Linux漏洞的防御。在一封郵件中他同意了Chris Evans的觀點(diǎn)：

這個(gè)exp相當(dāng)厲害，因?yàn)樗晒@過(guò)了ASLR和NX等先進(jìn)的保護(hù)措施，而且不需要與目標(biāo)軟件進(jìn)行程序交互。

詳細(xì)來(lái)說(shuō)，當(dāng)要攻擊瀏覽器漏洞的時(shí)候，exp會(huì)用JavaScript影響內(nèi)存布局。類(lèi)似地，當(dāng)要攻擊本地內(nèi)核漏洞時(shí)，exp會(huì)發(fā)起系統(tǒng)調(diào)用來(lái)影響目標(biāo)環(huán)境。但在現(xiàn)在的場(chǎng)景差別很大，由于exp是一個(gè)單獨(dú)的媒體文件，黑客沒(méi)有機(jī)會(huì)在攻擊的過(guò)程中作調(diào)整。

Evans隨后發(fā)布了一個(gè)FLAC媒體文件，它能夠運(yùn)行在默認(rèn)版本的Fedora 24上(其中預(yù)裝了最新版的GStreamer)。Evans說(shuō)，寫(xiě)Ubuntu的exp更容易些，因?yàn)樗麤](méi)有ASLR, RELRO等防御措施，即使是在最新的16.04 LTS版本中也沒(méi)有。不過(guò)他的exp仍然需要改寫(xiě)才能在除Fedora 24的其他linux版本中運(yùn)行。雖然攻擊針對(duì)的是GStreamer對(duì)FLIC文件格式的解碼器，Evans說(shuō)攻擊目標(biāo)是Rhythmbox媒體播放器的二進(jìn)制代碼。Totem播放器也可以用類(lèi)似的方法攻擊。

Exp下載：https://security.appspot.com/security/flic/fedora_flx_exploit.flac (僅針對(duì)Fedora 24)

漏洞利用較麻煩

這個(gè)exp的學(xué)術(shù)研究?jī)r(jià)值要比實(shí)用價(jià)值來(lái)得高，因?yàn)槿绻谄渌鹟inux版本上運(yùn)行就需要重寫(xiě)。并且由于在linux上播放媒體軟件的用戶(hù)本身就少，漏洞可利用的范圍就更少了。周二的時(shí)候，Ubuntu發(fā)布了補(bǔ)丁，之后幾天應(yīng)該會(huì)有更多的廠(chǎng)商跟進(jìn)。這個(gè)漏洞究竟優(yōu)雅與否，有興趣的可移步點(diǎn)擊下面的原文鏈接。