ملاحظة لى فنغ شبكة المحرر: 16 أغسطس، ومؤتمر القمة الثالثة الصينية لأمن الإنترنت القيادة (CSS 2017) الذي عقد في مركز المؤتمرات الوطني ببكين. كضمان تينسنت استكشاف المنتدى (TSec)، واحدة من تسعة أماكن ل"استكشاف أمني جديد" كموضوع، تجمع كبار الخبراء الأمنيين الشركات المصنعة الشهيرة دوليا وأفضل الجامعات، واستكشاف الاتجاهات عالم التكنولوجيا المتطورة والبحث والمستقبل في مجال أمن المعلومات. Fangjia كونغ تينسنت في مأمن من مختبر كوهين، شين دي تقاسم مبلغ وجه اتحاد العمل النسائي الروبوت الضعف النواة التي توجد مواصلة تقليص، واستخدام صعوبة يزيد تدريجيا الوضع الراهن، وكيفية تحقيق الاستقرار في كفاءة استغلال هذه الثغرات الأمنية لاستكمال امتياز التصعيد نظام التشغيل .

Fangjia كونغ: مرحبا ظهر الجميع! I Fangjia كونغ كوهين من مختبر الأمن تينسنت، وأنا وزملائي Chendi تعطينا تبادل المعلومات حول "أندروز اتحاد العمل النسائي نواة استغلال كويست" هو.

وينقسم سهم اليوم إلى أربعة أقسام. أنا لأول مرة من قبل أكثر تمثيلا من نقاط الضعف الروبوت نواة تظهر قبل فترة من الزمن. ثانيا، يجب أن نقوم بتحليل مثل نوع معين من الضعف، أي نوع من الخصائص في استخدام مثل اتحاد العمل النسائي، يتعلق الأمر أساسيات مكونات النظام، لتسهيل فهم محتوى لاحق. بعد الوقت لChendi، وقال انه تحليل عملية استخدام محددة وجدت في الأداء الإقتصادي الأداء الفرعي الضعف اتحاد العمل النسائي. وأخيرا، وتلخيص وتبادل قليلا من تفكيرنا.

يدخل تاريخ موجز لنقاط الضعف الروبوت النواة.

لماذا الهجوم على الروبوت نواة ذلك؟

تعامل على أنها نظام متكامل لأندروز، أول نظام لتطبيقات مختلفة، وذلك باستخدام مختلف UID، والعزلة بين التطبيقات. تبين لاحقا أن لا يتوقف الهجوم، وقد ولدت وأنظمة الملفات، وهكذا إجراءات أمنية مشفرة.

الغالبية العظمى من التدابير المنفذة تعتمد على نواة الروبوت. هجوم النواة نفسها هي مفيدة جدا للعمل. بين نظام ويندوز، ويمكن للنواة تحقيق الغرض من مهاجمة الحق في مباشرة الذكر. في نظام أندرويد، يمكنك تجاوز القيود المفروضة على إعدادات النظام. للالأشرار يمكن تحقيق الغرض من له دوافع خفية.

وفقا لجدول زمني، وفقا لفهمي الشخصي سرد أكثر ممثل نواة استغلالها. بطبيعة الحال، لا بما في ذلك اليوم نتحدث عن الضعف.

نوفمبر 2013، CVE-2013-6282 لدينا أصدقاء ثغرة أقرب مكتوبة، بل هو سؤال منطقي. عندما نهاجم تسلا العام الماضي، وفوجئت أن تجد هذه الثغرة هو في الواقع هناك. كان تسلا اثقة نسبيا أن السيارة لا يمكن أن يتعرض للخطر، ولذلك لم يفعل أكثر دفاعية من حيث النواة. وذكرت تقارير ان الضعف بعد الإصلاح، تسلا قد فعلت التحديثات نواة وإصلاحات جذرية جدا. نقاط الضعف جريئة كلها الضعف المشترك الجذر اندروز.

في عام 2014، واثنين من الشباب الموهوبين وجدت towelroot الأمريكية، والذي كان سببه تداعيات أكبر من جذر مشترك. هذا النوع من الضعف جديد نسبيا في ذلك الوقت، والاستفادة من هذه الطريقة ثغرة هو أيضا مبتكرة جدا، لم يتسبب في موجات صغيرة.

مايو 2015، وجدنا CVE-2015-3636.

في أغسطس 2016، ونحن استغل CVE-2015-1805.

بعد أن COW القذرة مشهورة جدا، بل هو أيضا جزء من منطق المشكلة.

أبريل 2017، اكتشف باحث من ثغرات البرامج الثابتة واي فاي جوجل، وهي ميزات مبتكرة جدا من مآثر.

التي سبق ذكرها هي بعض ثغرة التمثيلية، 6282 قضية ينتمي إلى منطق الأعمال، 1805 هو جزء من الوصول عبر الحدود، 3153،3636 تنتمي الضعف اتحاد العمل النسائي. اليوم ونحن أساسا بالبحث والدراسة عن ضعف اتحاد العمل النسائي.

وكما يوحي اسمها، يجب الثغرات اتحاد العمل النسائي لأول مرة بعد الشحن، ولكن بنجاح استغلال هذه الثغرة الأمنية، هناك العديد من الخطوات لا يمكن غاب. أولا، كيف لتحريك مجانا واستخدامها. وهذا قد يبدو بسيطا نسبيا 2015-3636، على سبيل المثال، توقيت توقيت والاستخدام المجاني للالسيطرة عليها جدا، يمكننا أن نفعل أي تريد أن تفعل، وتحسين السيطرة هي مساحة المبادلة الحرة.

3636 وتعرض السلع مع جيدة جدا، ولكن على وصلات التحكم في كثير من الحالات، قد تكون واجهت مع مشكلة العرق. في هذه الحالة، وكيفية السيطرة على النظام الحر والمستقر للاستخدام، واستخدام الزناد مستقر، فمن مشاكل أكثر صعوبة. لمختلف من حيث الضعف، فإنها تتطلب تقنيات مختلفة للتعامل معها. لقد كنا قادرين على طرح أسئلة حول توقيت واضحة، ثم وهذا هو كيفية تغيير جوهر السيطرة، وكيفية السيطرة بتنفيذ التعليمات البرمجية. طرق المكافحة هي مساحة تصل الحرة، ونقاط الضعف مختلفة، وهناك طرق مختلفة.

هنا الشيء الأكثر أهمية هو إشراك إدارة الذاكرة نواة لينكس. عروض اتحاد العمل النسائي لنا الطريق تستغل في شكل مبين. هناك أربعة أشياء ABCD الكومة. هذا هو عرض بسيط نسبيا، لتكون قادرة على تحقيق الاستقرار بشكل فعال السقوط الحر من الكائن الهدف، وماذا نريد لملء، والحاجة إلى فهم أكثر عمقا لإدارة الذاكرة النواة، وسوف تنطوي على نواة لينكس كومة مدير.

بين نظام أندرو، ندعو مدير كومة SLUB المشترك الذي يحل محل مشتركة قبل سلاب. من يهتم الهيكل الإداري، SLUB هو نسخة مبسطة، U هو معنى unqueued. في قائمة الانتظار الانتظار، مدير كومة القيام به، يجب أن يكون هناك طابور، من هنا تأخذ من الوقت لتطبيقها. أنه يزيل هيكل طابور مستقل هو الحاضر، بحيث يكون تماما SLUB مجانا مرتاح تماما. كان موجودا في لوح وحدة المعالجة المركزية، وإطلاق سراح وسوف عملية تقديم الطلبات يكون سريع جدا. من أجل التوافق، وإدارة لينكس هي طبقة تجريد لkmem. قبل رمز النواة، سائق النواة، لا تحتاج إلى إجراء أي تغييرات. إذا كنت تملك جمعت نواة لينكس، ما عليك سوى أن تختار أي نوع من مدير كومة يمكن استخدامها مباشرة، ومدونات أخرى لا تتغير.

أول نظرة على SLUB كومة تبدو كتلة مثل. نواة لينكس التي تتم إدارة صفحة الذاكرة الفعلية من قبل الأصدقاء. الامتثال لمبادئ إدارة الصفحة المادية. في SLUB التي تتكون من صفحتين N-ال منه. هو في الواقع استخدام ذكي للمشترك البدني وصف صفحة الملابس، وإدارة الأدوات. أعطي هذا التوزيع لا بأس به من الجماهير من هذه الصفحات، فإنه سيتم تسجيل الكائن الأول كتل كومة يمكن استخدامها على واصف الصفحة الأولى. هذا هو رئيس القائمة خالية من الكائنات. مجانا في الرأس للكائن، وسيكون هناك مؤشر، لافتا إلى كائن حر المقبل.

هذا الشيء لا يوجد بيانات تعريف إضافية، وجود جميع البيانات الوصفية فقط في الهيكل الأصلي الموجود في صفحة قمت بتعيينه إلى كتلة كومة لهم. انها جلبت أيضا بعض الميزات، بحيث يمكن أن تساعدنا على الاستفادة من ضعف خاص.

مفهوم المذكور cpu_slub والتوزيع والإفراج وعملية سريعة. التوزيع الحالي من وحدة المعالجة المركزية الكائنات التي سلوب ربط أعلاه، سوف تدخل توزيع تدفق سريع. على أي حال، بالنسبة للمستخدم لاستخدام يتعلق مدير كومة، فإن الكائن سيكون بالتأكيد مجانا سلوب للاستخدام. على وجه التحديد كيفية تشغيله بواسطة سلوب مدير الكومة.

لماذا مجموعة cpu_slub، في فترة الجدولة سيكون هناك متكررة عملية تخصيص الهدف في معظم الحالات. الإصدار هو الحالة التي ينتمي اليها الهدف الحالي مع cpu_slub الحالية، التي جلبت ميزة أخرى لطيفة جدا أيضا. الافراج عن الكائن على وحدة المعالجة المركزية الحالية، وانا ذاهب لتقديم طلب، وينطبق بالتأكيد إلى كائن صدر للتو، وهذا هو ميزة لطيفة جدا للشغل. يتم استخدام هذه الميزة أيضا في غيرها لاستغلالها. وفي الوقت نفسه، هناك أيضا الإفراج عن مسار بطيء، الذي أمر لا مفر منه.

هنا وقد لخصت الخصائص SLUB. وفقا لحجم الكائن لن تفعل الاندماج، التي من شأنها أن تجلب استغلال بعض المشاكل، قد لا تعرف هذا كومة من الكتل إطلاق سراح ما غيرها من الأشياء.

بعد ذلك ننظر في حالة اثنين من نقاط الضعف، سواء حالات الاستخدام الكامل للمدير سلوب الكومة.

أولا، CVE-2015-1805.

نقل البيانات iovec في نواة بنية البيانات. ضعف في حد ذاته هو تجاوز، تجاوز ينطوي على مجموعة واسعة من السيطرة عليها كيفية تطبيقها في النواة. تم تعطيل اندروز بين العديد من API. في نهاية المطاف نجد sendmmsg المكالمة، يمكنك الحصول على محتويات مجموعة ويمكن السيطرة عليها تماما. الجانب السلبي هو أن بعد تم القيام به والتي جرى تدميرها.

دورة حياة الكائن نفسه لا يكفي طويلة. بعد ظهور هذا الكائن ليست جيدة، في الواقع، قد تتذكر أن الجسم يتم تحرير سلوب قبل، والكتابة فقط في هذا الموضوع في مؤشر الرأس، ومؤشر إلى هذا الكائن يمكن استخدامها.

مسار رمز من 2015-1805 والتي إذا قسائم الصرف الداخلية 0، لن تتم معالجتها. إذا سوف الطائرة بسرعة كافية، وبسرعة كافية لاستغلال عملية اطلاق سراحه نفسها من قسائم الصرف الداخلية كائن فارغ أو ملء قسائم الصرف الداخلية آخر مرة أخرى، وليس لها أي تأثير على الضعف. نحتاج فقط للسيطرة على طول شغل في قسائم الصرف الداخلية الأول هو 0، فإنه سيتم تجاهل. حتى لو يتم اطلاق سراحهم، والنتيجة لا تزال قسائم الصرف الداخلية صالح.

ضعف الثاني، وينبغي أن يكون 2016-6187. بهذه الطريقة، والسلع مع نقاط الضعف سيئة للغاية، عبر الحدود 0 لكتابة الجزء شخصية، يصبح من الممكن أن تؤدي إلى تنفيذ التعليمات البرمجية. أخيرا وخصائص المؤشر freelist.

في المرة القادمة لChendi، من خلال تحليله حول نقاط الضعف وجدت في استخدام النظام الفرعي الأداء.

شين دي: هنا لاقول لكم انني اتحاد العمل النسائي في نظام اثنين الأداء الإقتصادي الأداء اكتشف العام الماضي. على هواتف أندرويد لديها الكثير من المستخدمين في حاجة إلى مفتاح الجذر. بعض نقاط الضعف مرحلة المنتج اتحاد العمل النسائي ليست جيدة خاصة، ولكن أريد أن أكتب على الأقل الوصول إلى نسبة نجاح 90. أنا قدمت وجدت اثنين في وقت مبكر من العام الماضي أنه بحلول نهاية الثغرات التي أبلغت إلى Google.

الأول هو CVE-2016-6787، التي نجمت عن ثغرة سباق، النواة ينهار على الفور. في الأسبوع الماضي تحدثت عن سامسونج KNOX تجاوز آلية الحماية في اللغه.

ضعف الثاني هو CVE-2017-0403، وهو إصلاح فقط هذا الضعف. هذه الثغرة لديها مشكلاتها الخاصة.

وفي حديثه أمام ثغرة، سيتحدث عن الأداء الإقتصادي الأداء شيء، بل هو دعوة النظام، أي يمكن أن تصل قيمتها الروبوت استدعاء النظام، والهجمات النواة. هذا استدعاء النظام لديها الكثير من المشاكل، كما أنني وجدت أكثر من سؤالين، وهنا اثنين من أفضل استخدام، فصل يتحدث عنه. معالم هذه الدعوة نظام أكثر تعقيدا، واحدة منها هي كيفية تعريف الأحداث الإحصائية كنت تريد توليد، وتريد لتحديد بتنفيذ التعليمات البرمجية فترة محددة، أو حان الوقت لاستدعاء فعلا في نواة والمكالمات التي دعت، فإنه يحتوي على الأداء الإقتصادي الأداء غريب الحدث، يمكنك إدخال الفرع.

هذه الدعوة النظام، بغض النظر عن ما حدث في الوسط، وسوف تولد في نهاية المطاف perf_event. كل يست منعزلة، قد تكون هناك مجموعة من النموذج، كل groun يكون زعيما، كل عملية هناك أكثر من مجموعة واحدة، وهناك حاويات كبيرة تشمل هذه المجموعة. كل عملية اثنين perf_event_context، زعيم جماعة لأن سلسلة، سلسلة يصل إلى هذه القائمة داخل المجموعة، والعلاقة بين هذه وجوه ثلاثة الأساسية له علاقة معقدة نسبيا، في الواقع، لأنها لا علاقة معقدة للغاية، استدعاء النظام فيها بعض المشاكل اتحاد العمل النسائي.

في النصف الثاني من عام 2016، GOOGL أعتقد أن هذا استدعاء نظام خطير للغاية، وختم المباشر. في وقت مبكر من العام الماضي، والدعوة يمكن أيضا نقل إلى دعوة أخرى، والاستفادة من هذه الثغرة لاستكمال الجذر اثنين على الهاتف.

هذا يرجع أساسا إلى وجود خلل في move_group استدعاء نظام المشكلة الأولى.

إذا كان زعيم المجموعة هو البرنامج الذي تريد إدراج الأجهزة هذه المرة سوف تتحرك الكثير تعلق على قائمة العلاقة. سيتم استخراج زعيم المجموعة الأولى من المؤشر، ومن عصا من كل حدث. بعد الانتهاء من هاتين العمليتين، ولكن أيضا نرى رمز مربع أحمر، ناقص 1، ناقص 1 لا تعتبر هذه العملية المتزامنة، وإزالة مجموعة واحدة مرتين. عادة، أمر ضروري عملية متزامنة فقط ناقص 1، ناقص 2، يتم تقليل مع التعددية، خفضت إشارة إلى 0، مما أدى إلى الإفراج عن الزناد.

الخيط الرئيسي لخلق زعيم المجموعة، الخيط عملية 1 الزناد move_group. يظهر على يمين تحطم صدر فعلا في وقت مبكر لأن السياق perf_event. عند معالجة للمرة الثانية في الموعد المحدد، وسيتم نقل جدولة في الصف خلال فترة التنفيذ سيتم تبديل الخروج، ثم تبادلت مرة أخرى إلى جدولة عملية التغيير.

هذه المرة سوف يؤدي العمل. والمفتاح هو الخيط جدولة هي متكررة جدا، والتعليم الأساسي هو و لا يمكن مشاهدته بالعين المجردة. مرة واحدة يتم تشغيل الضعف، النواة انهار على الفور. في الواقع، فإنه لا ينهار على الفور، في الواقع، ليس هناك ابتسامة العملية، وقد تبادلت الخيوط بها، والتغيير في عندما انهار. إذا كان انهيار فوري، وبالنسبة لي لا معنى له. هذه المرة علينا أن نركز على حل المشكلة، وكيفية جعل نواة لا ينهار على الفور، وسوف يحاول أن يعطي وقتا كافيا لرش الكومة.

قبل الحديث عن هذه المشكلة، يجب أن نتحدث أولا عن جدولة المعرفة من نواة لينكس، بما في ذلك العديد من المواضيع، كل موضوع لا يمكن تنفيذ في وقت واحد. هو التنفيذ الحقيقي، والبعض الآخر ينتظر التنفيذ. بعد أداء لبعض الوقت، وسوف يكون هناك العديد من الحالات. حالة واحدة هي أنه في المستقبل لم تعد بحاجة إلى القيام بها، سيتم قتله. إذا كنت ترغب في مواصلة التنفيذ، مع تم استنفاد شريحة الوقت، وهذه المرة كان تحول بها جدولة الموضوع. هذه المرة سيدخل حيز عدم انقطاع أو غير المنقطعة.

futex يمكن لهذه الدعوة أن تساعد حقا لنا النوم. مرة واحدة يدخل موضوع حالة سكون، فإن المبادرة لا يكون أي شخص إيقاظ. هذه هي الدولة مثالية بالنسبة لنا.

مع مساعدة من هذه الوظيفة، ومنطق الدعوة بأكمله يصبح مثل هذا، من اليسار إلى اليمين، من ضعف الزناد للرش الكومة، الرسم البياني بتنفيذ التعليمات البرمجية سيطرة كاملة. أو موضوع الرئيسي لخلق زعيم المجموعة، ونقل queue_me مباشرة. الموضوع 1 و الموضوع يتم تشغيلها في وقت واحد 2 perf_event عمل. بعد تعديل queue_me، جميع المواضيع الثلاثة للنوم بها. هذه المرة أنا بحاجة لبناء عملية أخرى جديدة، والمساعدة لي كومة رذاذ كاملة. رش الكومة ليس من الصعب، والهدف 1024، وكنت للتو رش الكومة، رذاذ مباشر الصفحة المادية، فمن الممكن أيضا. قد يستغرق ثواني عشرة من الزمن، رش الكومة ممتلئة. هذه المرة أنا يمكن أن تستيقظ في العملية، أو مباشرة قتل هذه العملية، لا يهم. سوف جدولة موضوع ضبط sched_in. يمكن نقطة تعطيل إلى أي عنوان تريد السيطرة عليها. يمكنك تنفيذ تعليمات برمجية عشوائية مع النواة، أحالت السلطة الجذر.

آخر 2017-0403 الضعف. آخر واحد هو الكائن التي ستصدر، كل كتلة قد يمثل بايت 0X10 يعني أنه لا توجد أي مؤشرات، كيف يمكنك التحكم في تنفيذ التعليمات البرمجية PC ذلك؟

يمكنك استخدام قفل بعد الجزء الحر هو صندوقين الحمراء هي وحدات 0X10، يمكنك كتابة عناوين مؤشرات اثنين. (أ) هو عنوان الهدف في حد ذاته، هو الموقف الثاني من A + 0X20. يمكنك استخدام البعض نواة الكائنات للرش الحق، لمجرد أن لديهم عازلة 0X20 في هذا الموقف، وهو يغطي العنوان في عنوان A نفسها، هل حقا أن أكتب عنوان وعن نفسها بنفسها معالجة طريقة تغطية اتحاد العمل النسائي مكتوبة تجاوز كومة، ثم غطت مع الكائنات الأخرى، وهذه المرة أنه من الأفضل أن الكتابة. إذا لم تتمكن من السيطرة على مؤشر PC، اتحاد العمل النسائي ليس الكتابة الجيدة.

ملخص

بعد الخطاب، وقال كوهين في مقابلة مع شبكة مختبرات لى فنغ في مقابلة غوغل الشركات العقلية الأمنية ذاتها، في نشرات الأمان الشهرية الصادرة هناك العديد من الثغرات الأمنية، ولكن معظم المشاهد الاستفادة من الثغرات الأمنية صعبة جدا، حتى لم يتم استغلاله، منها التهديد الحقيقي لضعف الهاتف المحمول المستخدم صغير نسبيا.

فقط عندما ظهور الهواتف الذكية، والناس تنظر بكثير من القضايا الأمنية. مع زيادة سبل الهجوم واتجاه الهجوم، ستكون مشكلة أمنية المزيد والمزيد من الاهتمام. المزيد والمزيد من الناس مع طريقة جديدة لحفر ثقوب، وعددهم أصبح أقل وأقل. مرة واحدة في أساليب هجومية جديدة، وأنماط جديدة من الضعف، وربما كان موجة من الهجوم الضعف اندلعت. مع تتخذ ببطء على محمل الجد، يتم حظر مسار الهجوم.

لذلك، واجه مع النواة الروبوت قوية على نحو متزايد، سطح الهجوم شددت بشكل كبير، وترك الجزء الوحيد من استدعاءات النظام للهجوم. في هذا واحد، وهو صديق جيد الضعف فيما يتعلق بالسلع مع عيب سيئة ليس كثيرا.

لكن كوهين قال المختبر شبكة Fangjia كونج لى فنغ، بشكل عام، طالما احتياجات ثغرة لإصلاحها، في الواقع، وهو صديق جيد الضعف في كثير من الأحيان أسرع إصلاح، بسبب خطر أكبر للاستغلال. هذا هو السبب في فريق جيد أبحاث الأمن، مثل الصفر المشروع، وإخراج كثير من الأحيان "جودة عالية" للثغرة، والتي هي قادرة على إخراج الضعف واستغلال الأفكار وحتى تكتمل استغلال التعليمات البرمجية. نوعية السلع مع الثغرات وأحيانا يكون من الصعب القاضي، ما لم تكن محددة استغلال الرمز إلى الكتابة.

بالطبع، هذه ليست في الواقع حالة خاصة من أندروز. مثل الكثير من الأشياء، ونقاط الضعف، مثل حجر اليشم الأصلي، وهناك "مرحلة المنتج." مرحلة المنتج الضعف تعتمد على العديد من العوامل، مثل الضعف حيث السطح الهجوم هو يسهل الوصول إليها، سواء لتحريك ضعف سهلة ومستقرة، وهلم جرا. لذلك ليس هناك نقاط ضعف يمكن استغلالها أمر طبيعي.

يلخص شين دي أيضا نقاط الضعف التي تواجهها النهج لا يمكن استخدامها، يجب علينا أولا تحديد ما هي القضية الجوهرية في نهاية المطاف هو، أليس كذلك حقا لا يمكن الاستفادة منها، لا تزال هناك طرق أخرى. يمكنك الاستفادة من الميزات الأخرى في النواة، أو إحالة القضية في الماضي، بعد كل شيء، بعض الأفكار شائعة، يمكن أن تساعدك بعض الأفكار.

وأخيرا، أجد أنه حتى إذا كان من الممكن وضع أي حل جانبا لبعض الوقت. وأشار إلى أن كتب 2014-0403 الضعف، كما وضعت جانبا مدة شهر أو شهرين، ويعتقد فجأة من وسيلة للكتابة.

وأخيرا، لا يقدم عمياء لا يمكن استغلال، كنت حقا لا تشعر بأنها سيئة.