ISC 2020漏洞论坛高潮迭起!“天府杯”13秒攻破虚拟机的0day漏洞被现场复现
2020-08-13
近年,网络空间漏洞数量持续增长,漏洞类型日趋多样化。众多事件型漏洞及高危零日漏洞已成为具备强大威慑力的新型网络武器。
2020年3月,ESET研究人员发现了一个影响超过10亿WiFi设备的超级漏洞,导致攻击者可使用全零加密密钥对设备的网络通信进行加密;同月,间谍组织利用IE浏览器中存在的零日漏洞破解朝鲜电脑系统防线,以此攻击和监控相关行业专家和研究人员;4月,苹果公司承认其默认邮件程序中存在两个漏洞且存在8年之久,影响波及全球超十亿部苹果设备,攻击者可利用漏洞在多个版本的iOS系统上实现远程代码执行。
无疑,数字时代全球网络空间将正面临前所未有的漏洞威胁挑战。在此背景下,8月13日,第八届互联网安全大会(ISC 2020)漏洞管理与研究论坛正式开幕,360 Vulcan Team漏洞挖掘与利用高级专家、虚拟化安全研究员肖伟,盘古实验室安全研究员Slipper,安全研究员、ZDI多年白金奖得主、2020 Pwn2Own Maiami站冠军Steven Seeley,华为终端安全高级研究员Rancho Han分别就漏洞安全相关问题带来主题演讲。
云时代虚拟机逃逸成安全重灾区
云计算的广泛应用,在推动虚拟机、云主机、容器等技术相继落地的同时,也让安全问题日益突出。
云时代对数据和运算的依赖性,创生了无数虚拟机。
这些虚拟机里,可能奔流着银行交易数据、政府系统信息、企业重要财报等。但也衍生了最严重的安全问题——虚拟机逃逸。虚拟机逃逸指的是突破虚拟机的限制,实现与宿主机操作系统交互的一个过程,攻击者可以通过虚拟机逃逸感染宿主机或者在宿主机上运行恶意软件。
在论坛上,360 Vulcan Team漏洞挖掘与利用高级专家、虚拟化安全研究员肖伟以《Qemu-kvm和ESXi虚拟机逃逸实例分享》为主题,分享了在2019年天府杯上用时13秒破解的经典虚拟机逃逸漏洞,重现qemu-kvm(虚拟机服务)和ESXi完整攻击流程的同时,详解了破解过程中的实践经验。
360 VulcanTeam
漏洞挖掘与利用高级专家、虚拟化安全研究员肖伟
首先分享的是qemu-kvm的越界读写漏洞。据肖伟介绍,Qemu是一款开源的虚拟化软件,用代码模拟了许多常用的硬件设备,如网卡、显卡、声卡等。该漏洞,是360 VulcanTeam于2019天府杯中,用时13秒即刻破解的经典0day漏洞。肖伟强调,该漏洞一旦被成功利用,可以实现越界读、越界写、相对偏移越界写等操作,最终在宿主机中执行任意代码,造成较为严重的信息泄露。
另一个是Vmware Vsphere产品的hypervisor组件——ESXi的堆溢出漏洞。和qemu不同的是ESXi是一个类似linux的系统,直接安装在裸机上,ESXi里面默认运行着很多个服务,例如web服务、slpd服务。Slpd服务是Open SLP(Service Location Protocol)协议的具体实现,默认在427端口监听,在虚拟机里可以访问到。此次论坛上,肖伟就主要介绍了在Slpd服务里面的漏洞cve-2019-5544。
国产手机芯片暗藏安全隐患
每当有新手机发布,其搭载的手机SOC芯片都会成为技术爱好者讨论的热门话题。其实除了苹果、高通、海思、联发科和三星等主流芯片厂商以外,小米也曾探索过自研手机芯片之路。盘古实验室安全研究员Slipper就以安全研究者的视角分析和体验了澎湃S1,带来了《探索澎湃S1的安全视界》的演讲。
盘古实验室安全研究员Slipper
随着手机芯片国产化的呼声越来越强烈,众人期待更多、更新、更强大的手机处理器。但手机芯片是一个高度集成的小型系统,它内部有很多元件或者可以说是秘密的部分,如果芯片存在漏洞或后门安全隐患,威胁将无法预估,甚至无从防御。
澎湃S1是小米松果自主研发的一款手机SOC芯片,其发布于2017年,搭载在小米5C这款机型上。Slipper从装载着“澎湃S1”芯片的手机所用到的固件入手分析,讲到越权操作,然后再逐渐深入Trustzone这一较少被人接触到的领域,指出其中存在type confusion漏洞。随后展示了该芯片的Trustzone中存在大量漏洞,可以通过一个恶意app来发起攻击。
在演讲最后,Slipper表示,2020年回头去看2017年发布的一款SOC芯片,可能会发现很多隐藏的安全隐患。但从安全研究的角度出发,并不应该害怕问题,诸如芯片这种关键核心技术组件,只有提高安全关注才能获得更多的资源,才有可能在未来迎来国产化芯片的春天。
新特征与老漏洞
当前Web应用漏洞变得越来越复杂。对于这些流行网站和应用所用到的底层编程语言和框架的理解程度,对是否能够发现高危漏洞起到重要作用。
论坛上,安全研究员、ZDI多年白金奖得主、2020 Pwn2Own Maiami站冠军Steven Seeley以“PHP环境中的攻击”为演讲主题,深入探讨了PHP 7.4的一些最新feature,以及如何利用这些feature去突破一些配置上的限制,结合xml相关漏洞,来实现远程信息泄露和远程代码执行。
安全研究员,ZDI多年白金奖得主
2020 Pwn2Own Maiami站冠军Steven Seeley
除了探讨新特征,也有研究老漏洞。华为终端安全高级研究员Rancho Han在论坛上分享了在现代Windows内核中发现存在20年的漏洞。
华为终端安全高级研究员Rancho Han
打印机驱动在Windows中存在已久,它的功能分别由内核模式图形代码和用户空间的打印驱动共同组成。Rancho Han率先介绍了Windows Printer Driver的基本架构,有助于对Windows的打印驱动框架有初步认识和了解,随后他揭示在长达20多年的历史上没有人留意过的UMPD Callback一个攻击面,并分享了专门为用户模式打印驱动设计了一个Fuzz框架,它有效地在Windows的图形内核中找到了多个漏洞。
并以其中两个已修复的漏洞为例,详细介绍用户模式打印驱动的工作原理和内部细节。可见,在一些经常为我所用却熟视无睹的组件里面或者在一些古老代码里面其实也有可能会产生新颖的攻击面。
在ISC 2020技术日上,还有网络空间测绘、移动安全、XDR分析检测、ATT&CK安全能力衡量论坛、靶场与实网攻防对抗论坛等多个分论坛同步上线。未来几天,ISC2020产业日、人才日等主题日将陆续开启,还有ISC夜谈、ISC Talk、CXO等特色活动持续开播,更多前沿技术话题、大咖观点分享将在第八届互联网安全大会中持续呈现。