看雪峰會精選：騰訊安全玄武實驗室揭秘困擾瀏覽器的“幽靈”漏洞

年初公開的CPU史詩級漏洞危機仍在持續(xù)發(fā)酵，近日有安全人員再次發(fā)現(xiàn)漏洞的變種，并因此獲得英特爾10萬美元獎勵。但不少用戶對該漏洞卻產(chǎn)生“狼來了”的錯覺：第一，盡管"Spectre"影響了大量的用戶，但它能否在實際的攻擊中產(chǎn)生危害?第二，截至目前仍然沒有一例利用該漏洞發(fā)起攻擊的事件匯報。

騰訊安全玄武實驗室打破了這個錯覺。在7月21日“2018看雪峰會”上，實驗室高級研究員宋凱首度分享了如何在瀏覽器中利用"Spectre"漏洞，并如何通過JS 觸發(fā)"Spectre"漏洞并且生成可以穩(wěn)定刷新緩存的匯編指令。除此之外，宋凱還分享了在瀏覽器中，通過 "Spectre" 漏洞可能造成的實際危害，及相關的緩解措施。

2018安全開發(fā)者峰會由行業(yè)老牌安全技術社區(qū)——看雪學院主辦，會議面向開發(fā)者、安全人員及高端技術從業(yè)人員，是國內(nèi)開發(fā)者與安全人才的年度盛事。騰訊安全作為本次峰會的鉆石級贊助單位，攜四大業(yè)務矩陣亮相現(xiàn)場，展現(xiàn)了以騰訊安全聯(lián)合實驗室七大國際頂尖白帽黑客為能力核心構建的人才+技術的業(yè)務模式，受到在場行業(yè)人士的廣泛關注。

(騰訊安全玄武實驗室高級研究員宋凱)

小工具的大收獲

毫無疑問，"Spectre" 是一個嚴重的CPU漏洞，打破了不同應用程序之間的隔離，影響了大部分的主流架構。它允許攻擊者欺騙無錯程序，且攻擊者可以通過緩存來利用這個漏洞，泄漏用戶級進程中的敏感數(shù)據(jù)。大部分公開的攻擊，都是本地攻擊。如果可以通過瀏覽器進行漏洞利用，那么對用戶的大規(guī)模攻擊將成為可能。由于瀏覽器用戶量龐大，若攻擊成功，結果將不堪設想。

“理論上，這個漏洞對個人用戶最主要的危害相當于一個跨平臺跨瀏覽器的超級 UXSS。但實際能否實現(xiàn)?能多大程度上實現(xiàn)?大家心里都沒數(shù)。”CPU漏洞公開的第五天，騰訊安全玄武實驗室負責人于旸(TK教主)在微博上公開了實驗室這段時間“沉寂”的成果——研發(fā)了一個可以檢測用戶瀏覽器是否易遭受攻擊的在線檢測工具。

(宋凱介紹實驗室研發(fā)的“Spectre”漏洞在線檢測工具)

企業(yè)用戶可借助該工具實時檢測瀏覽器安全狀態(tài)。若檢測結果表明瀏覽器易于遭受攻擊，則說明風險真實存在。宋凱在現(xiàn)場還分享了這個工具上線后的“意外”，“當時這個漏洞工具發(fā)布之后也算是全球首發(fā)的在線檢測工具，為數(shù)以千計的用戶檢查出了自己設備中的問題。比較出乎意料的是，因為我們最開始的測試環(huán)境有限，只在一些Windows機器上測試了Chrome瀏覽器相關的漏洞，發(fā)布了之后發(fā)現(xiàn)竟然不同的設備都會被影響，比如SurfacePro、MacOS、iPhoneX、Pixel 2等。”

解決兩個核心問題

在線檢測工具只是開始。“未知攻，焉知防”，摸清利用“Spectre”漏洞發(fā)起攻擊的方式才是騰訊安全玄武實驗室這群白帽黑客的研究重點。

宋凱在演講中表示，這個漏洞的根本原因是因為推測執(zhí)行中的代碼可以影響CPU的緩存，而這個緩存的影響又可以用一些技術手段探測出來。分支邏輯在這種實踐上是不可靠的，因為緩存被影響了，它可以讓攻擊者推測出預測執(zhí)行中所訪問數(shù)據(jù)的內(nèi)容，并且這個數(shù)據(jù)是可以測量的，就可以進一步的泄露了。

于是如何穩(wěn)定的刷新緩存，以及如何保證在利用過程中特定的數(shù)據(jù)不出現(xiàn)在緩存中，是在瀏覽器其實現(xiàn)漏洞攻擊首先需要解決的問題。

騰訊安全玄武實驗室的做法是，先訪問大量不同的地址來強制刷新緩存，實現(xiàn)緩存刷新的功能，再通過將變量放在不同的內(nèi)存中來遍歷的方式，保證每一次遍歷的變量都不在緩存中。同時，通過Worker+SharedArrayBuffer可以做到相對預測內(nèi)存訪問時間的精度計時器，通過動態(tài)遍歷緩存大小的方式用來適配不同的設備也是整套攻擊方案中必不可少的部分。

值得一提的是，騰訊安全玄武實驗室在研究實現(xiàn)過程時，對CPU“分支預測”功能的利用頗具有利用人工智能局限性的意味——通過五次訓練讓執(zhí)行效果反饋為true，最終可以讓CPU比較穩(wěn)定的出現(xiàn)進入到分支內(nèi)的推測邏輯。

“通過javascript想實現(xiàn)整套攻擊需要解決很多問題”，宋凱最后總結道，包括如何穩(wěn)定刷行緩存、確保特定的數(shù)據(jù)不出現(xiàn)在緩存中、高精度時間計時器、動態(tài)探測緩存大小。想要造成實際的危害，主要需要解決的問題是內(nèi)存布局。

本次研究僅僅是騰訊安全玄武實驗室部分的能力體現(xiàn)。在本次峰會上分享的宋凱曾代表騰訊安全玄武實驗室贏得 Pwn2Own 2017 Edge 瀏覽器項目;曾連續(xù)三年入選微軟 MSRC 全球 Top 100 貢獻者榜單，最高排名第12位;更曾贏得2016年微軟 Mitigation Bypass Bounty 項目，以及2015年和2016年的 Edge Bounty 項目。

實驗室成員對于信息安全技術的深耕，也直接通過騰訊安全輸出為技術能力，保衛(wèi)廣大用戶的網(wǎng)絡安全。在年初CPU漏洞爆發(fā)之后，除騰訊安全玄武實驗室研發(fā)的在線檢測工具之外，騰訊安全反病毒實驗室和騰訊電腦管家也迅速上線相應的漏洞修復工具和檢測工具，幫助用戶快速方便的完成漏洞探測，及時發(fā)現(xiàn)隱患，將風險降到最低。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。