隨著每次新的安全機制的發(fā)布，研究人員和黑客都會想法設法地找到破解或者通過它的方式，此次CFG也不能例外。

[[150750]]

微軟在Win 8.1 Update 3以及Win 10中啟用了一種抵御內(nèi)存泄露攻擊的新機制，即Control Flow Guard(CFG)——控制流防護。這項技術(shù)是為了彌補此前不完美的保護機制，例如地址空間布局隨機化(ASLR)導致了堆噴射的發(fā)展，而數(shù)據(jù)執(zhí)行保護(DEP)造成了漏洞利用代碼中返回導向編程(ROP)技術(shù)的發(fā)展。

百科：控制流防護(CFG)

控制流防護(CFG)作為Win 8.1+的新安全保護機制，其實并不知名。它被用于阻止針對可執(zhí)行文件間接調(diào)用的惡意利用。CFG保護十分高效，同時它是一種編譯器和操作系統(tǒng)相結(jié)合的防護手段。

影響IE，微軟卻不修?

來自云安全公司Bromium的研究人員Jared DeMott周五將發(fā)表一個關(guān)于繞過CFG的演說，DeMott告訴記者，早在8月份的Blackhat舉辦之前，公司就將這個發(fā)現(xiàn)提交給了微軟公司，但是微軟決定不去修復這個問題，并認為這也不值得發(fā)放漏洞獎金。

微軟拒絕對此進行評論。據(jù)DeMott介紹，微軟認為這樣的繞過并沒有影響所有系統(tǒng)，并且是個很難被利用的攻擊向量：

“微軟說這僅僅影響到64位系統(tǒng)下的32位程序，因此并不影響整個系統(tǒng)。而我的回答則是，IE就是64位系統(tǒng)下的32位程序，如此一來便可以影響瀏覽器。”

這并不是微軟首次公開表示保護機制被繞過不是漏洞，早在2010年Verizon Business發(fā)布了一份報告，詳細列出了他們的發(fā)現(xiàn)“逃離微軟IE保護模式”，IE7和IE8的保護模式都可以被繞過，攻擊者能提高其用戶權(quán)限。微軟當即表示這份報告中發(fā)現(xiàn)的問題并不是一個漏洞，它只是繞過安全防護的一種方法。

研究人員：繞過保護機制的危害也很大

DeMott說這樣的繞過利用了微軟選擇不在CFG中部署Control Flow Integrity(CFI)，即控制流完整性。

“當CFI執(zhí)行時，它在一個函數(shù)指針調(diào)用以及受到返回地址之前增加了額外檢查，使得這些返回地址都是有效的。而微軟并不認為這樣的完整性是十分必要的，CFG僅僅保護了函數(shù)指針，而不檢測返回地址。”

作為一項Visual Studio技術(shù)，CFG同時也被內(nèi)置于微軟的新瀏覽器Edge中。而此前CFG的一個繞過已經(jīng)由Core Security的研究人員在三月份發(fā)布。

微軟在一份報告中描述了Edge瀏覽器的安全特性：

“(CFG)編譯檢測代碼會根據(jù)指針地址來進行間接跳轉(zhuǎn)，這也就使得攻擊者控制系統(tǒng)程序的過程變得更加的困難。”

內(nèi)存崩潰攻擊：一場捕鼠游戲

DeMott坦言，這種繞過技術(shù)的關(guān)鍵在于攻擊者是否能夠搞崩潰一個返回地址，并切斷導致返回導向編程技術(shù)鏈(ROP)的一系列事件，這是很多內(nèi)存崩潰攻擊的核心所在。Bromium稱之為Stack Desync，依賴于使用不同的函數(shù)調(diào)用協(xié)議。

“當你調(diào)用一個函數(shù)指針的時候，系統(tǒng)期望收到的是一個符合標準協(xié)議的指針地址，而程序卻返回一個任意的指針地址。如果你不保護返回地址，對應的模塊便會遭到破壞，也就意味著系統(tǒng)所有的操作被暴露出來了，攻擊者便有機會破壞系統(tǒng)堆棧中的數(shù)據(jù)，并且當系統(tǒng)調(diào)用指針地址的時候，返回的就不是一個有效地址了，而這便是攻擊的前奏。”

這樣的繞過技術(shù)并非不重要的，更有可能成為國家級情報機構(gòu)獲取情報的重要手段。攻擊者可以由此入侵網(wǎng)絡，進行二次攻擊，從而進一步盜竊數(shù)據(jù)并越權(quán)操作。

DeMott總結(jié)道：

“內(nèi)存崩潰攻擊一場新型的捕鼠游戲，所有這些實驗成果，盡管聽起來不是好消息，但是它推動了信息安全行業(yè)整體的發(fā)展，同時也為攻擊者實施攻擊提供了障礙。微軟公司選擇不去修復這個問題，還認為他們已經(jīng)完成了力所能及的一切。除此之外，因為這樣的技術(shù)并非所有人都能夠得到的，微軟認為這個問題造成的安全風險很低。”