精品国产人成在线_亚洲高清无码在线观看_国产在线视频国产永久2021_国产AV综合第一页一个的一区免费影院黑人_最近中文字幕MV高清在线视频

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

芯片漏洞實戰之破解KASLR

Linux閱碼場 ? 來源:https://paper.seebug.org/497/ ? 作者:蒸米,白小龍 ? 2020-11-26 13:47 ? 次閱讀

Meltdown和Spectre分析以及CPU芯片漏洞攻擊實戰,教你如何破解macOS上的KASLR。

作者:蒸米,白小龍 @ 阿里移動安全 來源:

https://paper.seebug.org/497/

0x00 影響

早上突然就被Meltdown和Spectre這兩個芯片漏洞刷屏了,但基本上都是一些新聞報道,對漏洞的分析和利用的信息基本為0。作為安全研究者,不能只浮在表面,還是要深入了解一下漏洞才行,于是開始研究這方面的資料。結果發現其實這個硬件漏洞的影響非常廣,不光是IntelARMAMD也受影響,只是AMD的影響比較小罷了。因此基本上所有的操作系統(Windows,macOS,LinuxAndroid等)都有被攻擊的風險。漏洞有兩種攻擊模式:一種被稱為Meltdown,是在用戶態攻擊內核態,造成內核信息泄露。另一種被稱為Spectre,一個應用可以突破自己的沙盒限制,獲取其他應用的信息。另外,因為是硬件漏洞,這個攻擊對云的影響非常大,利用這個漏洞,一個guest可以獲取host或同一臺服務器上其他guest的信息,可以說是一個非常嚴重的漏洞,因此亞馬遜和google都在緊急加班修復漏洞。比如google就公布了漏洞修復的進度在:https://support.google.com/faqs/answer/7622138。雖然是硬件漏洞,但是在系統或軟件層面上通過犧牲性能的方法還是可以進行修補的。

0x01 原因

那么我們現在知道漏洞很嚴重了,那么漏洞形成的原因是什么呢?關鍵點在于Speculative execution(推測執行)。推測性執行是一種優化技術,CPU會執行一些可能在將來會執行任務。當分支指令發出之后,傳統處理器在未收到正確的反饋信息之前,是不會做任何工作的,而具有預測執行能力的新型處理器,可以估計即將執行的指令,采用預先計算的方法來加快整個處理過程。如果任務最終沒有被執行,CPU還可以回滾到之前的狀態,就當做什么都沒發生過一樣。但是這樣真的安全嗎?答案是,并不安全。攻擊者通過尋找或構建一些指令就可以在CPU回滾的時間窗口里進行一系列的攻擊。比如Google Blog中提到的邊界檢查繞過(CVE-2017-5753),分支目標注入(CVE-2017-5715), 惡意數據緩存加載(CVE-2017-5754)。

舉個例子,如果CPU執行下面這段代碼:

arr1->length沒有被緩存的時候, CPU會從arr1->data[untrusted_offset_from_caller]處讀取數據,如果untrusted_offset_from_caller的值超過arr1->length,就會造成越界讀。當然,正常情況下這并不會出現什么問題,因為在執行到判斷語句那一行的時候,CPU發現不對,后面的語句不應該被執行,于是會將狀態回滾到越界讀之前。

但是接下來,問題就出現了。假設arr1->length,arr2->data[0x200]和arr2->data[0x300]都沒有被緩存,CPU會繼續推測執行下面的代碼,在這里index2會根據value&1產生兩個不同的值0x200,0x300,而Value就是越界讀到的值。接下來,代碼會根據Value的值去讀取arr2->data[0x200]或arr2->data[0x300]的值并且這個值會被加入到緩存里。接下來,我們可以再次嘗試去讀取arr2->data[0x200]和arr2->data[0x300],讀取時間短的那個值說明被緩存過了,因此就可以判斷出value&1的值為0還是1,從而做到內核信息泄露。

其實,在google的blog發布之前,就已經存在類似的攻擊了,只是危害沒有這么大而已,今天我們就直接實戰一個利用Intel CPU芯片漏洞來破解macOS KASLR的攻擊。

0x02 芯片漏洞實戰之破解KASLR

這種攻擊比較簡單,但是是后面高級攻擊的基礎,因此我們先從這個攻擊講起。之前我們講到,為了讓CPU效率更高,它們依靠推測性執行在任務到來之前就提前執行任務。同樣,數據預取就利用這個思想推測性地先將數據加載到緩存中。Intel的CPU有五個軟件預取指令:prefetcht0,prefetcht1,prefetcht2,prefetchnta和prefetchw。這些指令作用是提示CPU,告訴他一個特定的內存位置可能很快被訪問。然而,Intel的手冊中卻提到,預取“未映射到物理頁面的地址”會導致不確定的性能損失。因此,我們可以通過CPU預讀指令執行的時間長短來判斷這個地址有沒有被映射到物理頁面上。

我們知道KASLR的原理是在內核的基址上增加一個slide,讓攻擊者無法猜測內核在內存中的位置。但是內核肯定是被映射到物理頁面上的,因此我們可以使用預取指令去遍歷內核可能的起始地址,如果執行預取指令的時間突然變短,就說明我們猜中了內核的起始地址。我們在網上成功找到了破解macOS 10.13 KASLR的POC,并做了一點簡單的修改:https://pastebin.com/GSfJY72J

其中關鍵代碼如下:

這是一段匯編,參數會傳入想要預取的地址,然后利用rdtscp和rdtscp來統計指令執行的時間,并返回。于是我們從內核可能的起始地址開始,不斷地執行這段匯編代碼,直到我們找到內核的起始地址為止。

可以看到在0x15c00000這一行,指令執行的時間明顯縮短了。因此,我們可以猜出Kernel Side為0x15c00000。

0x03 修復

根據某內部漏洞修復人員在twitter上的回復,蘋果已經在macOS 10.13.2上對此類芯片漏洞進行了修復,采用了犧牲性能的針對用戶態使用兩次映射的方式來解決該問題。并號稱10.13.3上有更好的解決方案。另外iOS的A*系列芯片暫時還不受這類漏洞的影響。

0x04 總結

本篇文章只是給芯片的一系列漏洞開了個頭,我們隨后還會有更多關于芯片漏洞的分析和利用實戰,歡迎繼續關注本系列的文章,謝謝。

參考文獻:

1. https://googleprojectzero.blogspot.hk/2018/01/reading-privileged-memory-with-side.html

2. https://siguza.github.io/IOHIDeous/

3. Prefetch Side-Channel Attacks: Bypassing SMAP and Kernel ASLR, CCS 2016.

責任編輯:PSY

原文標題:性能VS安全?CPU芯片漏洞攻擊實戰(1) - 破解macOS KASLR篇

文章出處:【微信公眾號:Linuxer】歡迎添加關注!文章轉載請注明出處。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 芯片
    +關注

    關注

    453

    文章

    50402

    瀏覽量

    421800
  • 漏電
    +關注

    關注

    4

    文章

    148

    瀏覽量

    20716
  • intel
    +關注

    關注

    19

    文章

    3480

    瀏覽量

    185752

原文標題:性能VS安全?CPU芯片漏洞攻擊實戰(1) - 破解macOS KASLR篇

文章出處:【微信號:LinuxDev,微信公眾號:Linux閱碼場】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    常見的漏洞分享

    #SPF郵件偽造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 發現spf最后面跟著~all,代表有
    的頭像 發表于 11-21 15:39 ?48次閱讀
    常見的<b class='flag-5'>漏洞</b>分享

    高通警告64款芯片存在“零日漏洞”風險

    近日,高通公司發布了一項重要的安全警告,指出其多達64款芯片組中存在一項潛在的嚴重“零日漏洞”,編號為CVE-2024-43047。這一漏洞位于數字信號處理器(DSP)服務中,已經出現了有限且有針對性的利用跡象,引起了業界的廣泛
    的頭像 發表于 10-14 15:48 ?2338次閱讀

    漏洞掃描一般采用的技術是什么

    漏洞掃描是一種安全實踐,用于識別計算機系統、網絡或應用程序中的安全漏洞。以下是一些常見的漏洞掃描技術: 自動化漏洞掃描 : 網絡掃描 :使用自動化工具掃描網絡中的設備,以識別開放的端口
    的頭像 發表于 09-25 10:27 ?292次閱讀

    漏洞掃描的主要功能是什么

    漏洞掃描是一種網絡安全技術,用于識別計算機系統、網絡或應用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來獲取未授權訪問、數據泄露或其他形式的攻擊。漏洞掃描的主要功能是幫助組織及時發現并
    的頭像 發表于 09-25 10:25 ?313次閱讀

    《七劍下天山》“七劍利刃”:“新一代”漏洞掃描管理系統

    。該平臺七個方面功能尤其強大,堪稱梁羽生的武俠小說《七劍下天山》“七劍利刃”: ?日月劍?:多租戶管理。不同租戶間能設置符合各租戶自身特點的漏洞掃描策略,并只能查看當前租戶的漏洞分別情況;平臺管理員能進行全
    的頭像 發表于 09-09 11:23 ?333次閱讀

    內核程序漏洞介紹

    電子發燒友網站提供《內核程序漏洞介紹.pdf》資料免費下載
    發表于 08-12 09:38 ?0次下載

    Adobe修復35項安全漏洞,主要涉及Acrobat和FrameMaker

    值得關注的是,Adobe對Acrobat及Acrobat Reader軟件的漏洞修復最為重視,共修復了12個漏洞,其中9個為“遠程執行代碼”嚴重漏洞,主要由RAM的“Use After Free”類型
    的頭像 發表于 05-16 15:12 ?688次閱讀

    微軟五月補丁修復61個安全漏洞,含3個零日漏洞

    值得注意的是,此次修復并不包含5月2日修復的2個微軟Edge漏洞以及5月10日修復的4個漏洞。此外,本月的“補丁星期二”活動還修復了3個零日漏洞,其中2個已被證實被黑客利用進行攻擊,另一個則是公開披露的。
    的頭像 發表于 05-15 14:45 ?646次閱讀

    模擬芯片電源管理芯片介紹

    相應的短矩波,推動后級電路進行功率輸出。本文詳細介紹芯伯樂XBLW-模擬芯片電源管理芯片的分類及各種類芯片特征,希望看完后有更深刻的了解。01—描述
    的頭像 發表于 04-30 08:34 ?1778次閱讀
    模擬<b class='flag-5'>芯片</b><b class='flag-5'>之</b>電源管理<b class='flag-5'>芯片</b>介紹

    蘋果承認GPU存在安全漏洞

    蘋果公司近日確認,部分設備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋果、高通、AMD和Imagination制造的多種圖形處理器。根據報告,iPhone 12和M2 MacBook Air等設備也受到了這一
    的頭像 發表于 01-18 14:26 ?637次閱讀

    半導體芯片車規芯片——Lab Companion

    半導體芯片車規芯片 —— Lab Companion 半導體芯片車規芯片 一臺新能源汽車分為
    的頭像 發表于 01-11 14:30 ?705次閱讀
    半導體<b class='flag-5'>芯片</b><b class='flag-5'>之</b>車規<b class='flag-5'>芯片</b>——Lab Companion

    POC管理和漏洞掃描小工具

    本工具是采用javafx編寫,使用sqllite進行poc儲存的poc管理和漏洞掃描集成化工具。主要功能是poc管理,并且采用多線程進行漏洞掃描。
    的頭像 發表于 01-09 11:01 ?742次閱讀
    POC管理和<b class='flag-5'>漏洞</b>掃描小工具

    emWin 實戰指南

    電子發燒友網站提供《emWin 實戰指南.pdf》資料免費下載
    發表于 12-22 11:03 ?5次下載

    如何消除內存安全漏洞

    “MSL 可以消除內存安全漏洞。因此,過渡到 MSL 可能會大大降低投資于旨在減少這些漏洞或將其影響降至最低的活動的必要性。
    發表于 12-12 10:29 ?712次閱讀
    如何消除內存安全<b class='flag-5'>漏洞</b>

    數字隔離芯片電平轉換應用

    數字隔離芯片電平轉換應用
    的頭像 發表于 12-05 11:09 ?2526次閱讀
    數字隔離<b class='flag-5'>芯片</b><b class='flag-5'>之</b>電平轉換應用