過(guò)去10年，想要侵入計(jì)算機(jī)的黑客面臨一個(gè)艱巨的任務(wù)：即便已經(jīng)讓惡意代碼運(yùn)行在目標(biāo)計(jì)算機(jī)上，他們也不得不找出代碼究竟運(yùn)行在內(nèi)存的哪個(gè)位置。這是因?yàn)閃indows、安卓和其他每個(gè)現(xiàn)代操作系統(tǒng)，都會(huì)采用隨機(jī)化進(jìn)程內(nèi)存位置的安全保護(hù)措施。這讓數(shù)字侵入過(guò)程變得好像是在完全黑暗的環(huán)境里嘗試搶劫民居一樣。

[[183709]]

但如今，一組荷蘭研究人員，發(fā)現(xiàn)了能破解該“地址空間布局隨機(jī)化”(ASLR)措施的技術(shù)，為黑客們提供了在陌生計(jì)算機(jī)中標(biāo)定自身位置的指路牌。這意味著：軟件應(yīng)用中發(fā)現(xiàn)的任一常見(jiàn)內(nèi)存泄露漏洞，都可能導(dǎo)致對(duì)目標(biāo)PC或智能手機(jī)更深層次的控制。而且，由于該攻擊利用的是硬件而不是軟件，數(shù)百萬(wàn)臺(tái)設(shè)備因此暴露于風(fēng)險(xiǎn)之中——無(wú)論裝載什么操作系統(tǒng)。僅通過(guò)軟件更新來(lái)完全修復(fù)該漏洞的想法，太過(guò)天真。

重回ASLR

該攻擊方法開(kāi)發(fā)者，阿姆斯特丹自由大學(xué)研究員本·格拉斯及其同事卡威·拉扎維說(shuō)：“漏洞到處都是，但ASLR讓漏洞難以被利用。該攻擊技術(shù)則讓不可利用的漏洞又可以被利用了。某種意義上，這把我們都甩回了安全缺失的90年代。”

他們的攻擊方法還真是搞出大事情了，因?yàn)楣粽邇H用JavaScript就能搞定，也就是說(shuō)，僅僅是訪(fǎng)問(wèn)惡意網(wǎng)站都能觸發(fā)。該研究團(tuán)隊(duì)名為VUSec，發(fā)布了一段視頻來(lái)演示如何在火狐瀏覽器中運(yùn)行之。微架構(gòu)安全專(zhuān)家約斯·奧棱稱(chēng)：“沒(méi)人在網(wǎng)頁(yè)中這么干過(guò)，這是此類(lèi)攻擊中非常隱蔽和狡猾的一個(gè)例子。”

這種攻擊的修復(fù)難度與其部署簡(jiǎn)易程度相當(dāng)。VUSec技術(shù)利用了計(jì)算機(jī)硬件最深層次的資產(chǎn)——英特爾、AMD、Nvidia和三星等公司制造的微處理器。想讓ASLR再度起效，恐怕不是一次快速的操作系統(tǒng)或?yàn)g覽器更新能辦到的，還需要對(duì)這些芯片的重設(shè)計(jì)和替換。

破解安全

該攻擊利用了微處理器和內(nèi)存的互動(dòng)：處理器有個(gè)被稱(chēng)為內(nèi)存管理單元(MMU)的部件，負(fù)責(zé)映射計(jì)算機(jī)在內(nèi)存中存儲(chǔ)程序的地址。為跟蹤這些地址，MMU頻繁查詢(xún)名為頁(yè)表的目錄。

VUSec攻擊的關(guān)鍵，在于設(shè)備通常將頁(yè)表存儲(chǔ)在處理器緩存中——讓最常訪(fǎng)問(wèn)的信息隨時(shí)可被計(jì)算核調(diào)用的一小塊內(nèi)存。這種做法可以提升芯片處理速度和效率。

但是，網(wǎng)頁(yè)上運(yùn)行的一段惡意JavaScript代碼，同樣可以寫(xiě)入那塊緩存。最關(guān)鍵的是，它還能同時(shí)查看MMU的工作速度。“通過(guò)密切監(jiān)視MMU，JavaScript代碼可以找出其自身地址——這可不是好代碼該干的事。”格拉斯說(shuō)。

VUSec研究人員的攻擊，將MMU速度變成了提示信息。攻擊代碼會(huì)復(fù)寫(xiě)緩存，一次一個(gè)單元，直到看到MMU降速。這就是無(wú)論緩存哪部分被重寫(xiě)MMU都要去查找一塊頁(yè)表的標(biāo)志——MMU會(huì)減緩速度，因?yàn)樗门芑卣５碾S機(jī)存取內(nèi)存去找該頁(yè)表的副本，而不是直接在處理器緩存中查找。

MMU要執(zhí)行4次單獨(dú)的頁(yè)表查詢(xún)，才能找到任給代碼段的物理地址。因此，該攻擊會(huì)重寫(xiě)緩存4次，搜出緩存中存放頁(yè)表的4個(gè)地方。每一次，惡意程序都會(huì)記下MMU降速的時(shí)刻。MMU走到該降速時(shí)刻的耗時(shí)，就成為了惡意代碼自身在緩存中地址的提示信息，當(dāng)設(shè)備將攻擊代碼從緩存中拷貝到RAM中時(shí)，ASLR想隱藏起來(lái)的代碼內(nèi)存地址就暴露無(wú)遺了。

該攻擊有些像是古早的撬保險(xiǎn)箱手法：聽(tīng)診器貼在保險(xiǎn)箱上，慢慢轉(zhuǎn)動(dòng)撥盤(pán)，仔細(xì)聆聽(tīng)撥片聲音。緩存就像是保險(xiǎn)箱中發(fā)出這些充滿(mǎn)提示意味咔噠聲的撥片，能聽(tīng)懂，就能順利開(kāi)門(mén)而入。

難以修復(fù)的大漏洞

VUSec向荷蘭國(guó)家網(wǎng)絡(luò)安全中心報(bào)告了該情況，后者聯(lián)系了所有受影響的芯片制造商和軟件公司，包括英特爾、AMD、三星、Nvidia、微軟、蘋(píng)果、谷歌和Mozilla——三個(gè)月前的事兒。研究人員給足了這些公司標(biāo)準(zhǔn)窗口時(shí)間來(lái)解決問(wèn)題，直到現(xiàn)在才公開(kāi)他們的發(fā)現(xiàn)。而且，研究人員不打算公布任何源代碼來(lái)證明他們的攻擊。不過(guò)，他們警告稱(chēng)，技術(shù)高超的黑客能在幾周內(nèi)就從他們已經(jīng)公布的東西中逆向出該技術(shù)。

同時(shí)，格拉斯給出了一些應(yīng)急建議。你可以安裝插件，像是火狐的NoScript，或者Chrome的ScriptSafe，來(lái)封鎖網(wǎng)頁(yè)上的JavaScript。瀏覽器廠商也可以降低腳本測(cè)量時(shí)間的精度，防止腳本監(jiān)視MMU的速度。

至少一家公司已經(jīng)著手緩解該威脅。蘋(píng)果發(fā)布了旨在強(qiáng)化Safari的軟件更新，但并未揭示該更新到底做了什么。蘋(píng)果發(fā)言人稱(chēng)，該公司還向其他受影響廠商分發(fā)了一份行動(dòng)計(jì)劃，例如蘋(píng)果所用芯片的供應(yīng)商們。

完全修復(fù)最終將需要更換硬件，而非軟件。設(shè)備將需要建立在新架構(gòu)之上的新芯片——MMU與處理器緩存中的頁(yè)表相互隔離。格拉斯稱(chēng)：“因?yàn)樵撀┒磳?shí)在太底層，其上的軟件層可以讓它更難以被利用，但不能讓漏洞消失。”

英特爾、微軟和Mozilla，則是低調(diào)處理了該事件。微軟公關(guān)發(fā)給《連線(xiàn)》的一份聲明中稱(chēng)：“我們確定這不是個(gè)安全問(wèn)題。”英特爾則稱(chēng)該研究“不代表英特爾架構(gòu)系統(tǒng)的安全要做出重大改變。”這三家公司的發(fā)言人都指出：該攻擊僅在與其他內(nèi)存泄露漏洞連用時(shí)才構(gòu)成威脅。三星、Nvidia、AMD和谷歌并未回復(fù)《連線(xiàn)》的評(píng)論請(qǐng)求。

然而，微軟和英特爾指出僅擊敗ASLR黑不進(jìn)操作系統(tǒng)，并沒(méi)有讓人多放心一些。ASLR被攻破，黑客就能重用回那些被ASLR擋住的常見(jiàn)內(nèi)存泄露漏洞了。老舊漏洞煥發(fā)新生的節(jié)奏。

如果科技公司不認(rèn)真重視ASLR攻擊，其結(jié)果，可能會(huì)是一大批新方法的出現(xiàn)，上百萬(wàn)誤入錯(cuò)誤網(wǎng)頁(yè)的無(wú)辜用戶(hù)坐等被黑。“攻擊者一直走在變得更聰明的路上。如果計(jì)算機(jī)越來(lái)越笨，優(yōu)勢(shì)無(wú)疑會(huì)在攻擊者一方。”

【本文是51CTO專(zhuān)欄作者"李少鵬"的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文