上传者: testvaevv
|
上传时间: 2021-08-07 14:00:14
|
文件大小: 1.74MB
|
文件类型: PDF
运行在 Windows10 上的最新版 IE11 新增了大量的漏洞利用缓和措施,试图放缓攻击者的脚步。尽管微软最近刚刚发布了他们最新的旗舰版浏览器 Edge,不过我们发现在 Edge 中引入的大量缓和措施在 IE11 中也同样存在。这些缓和措施的目的是使得攻击变得尽可能困难和昂贵。这些缓和措施通常包括 ASLR,DEP,CFG,隔离堆和内存保护,还有许多许多。如果你设法绕过所有这些,成功地把你的漏洞们转化成成功的远程代码执行,那么你将会遇到沙箱这个难题。要从沙箱中逃逸,你可能需要更多的漏洞和绕过。例如如果你想要使用内核漏洞来绕过沙箱,那么你需要绕过所有的内核利用缓和措施,如内核 DEP,KASLR,SMEP,空指针引用保护等。最后如果你希望你的利用程序在微软增强缓和工具包(EMET)下工具,那么难度就更大了。
尽管所有这一切令利用程序开发过程变的想当艰难,但如果有对的漏洞在手,依旧有可能在不需要考虑太多缓和措施的前提下进行利用程序开发。尤其当你不使用传统的 ROP 方式执行 ShellCode,而是重用浏览器本身的功能进行远程代码执行的时候。
此次演讲,我们会描述此次提交给微软并获得奖励计划最高 10 万美金的所有细节。我们将展示针对 64 位 IE11 写的一个稳定的攻击,运行在 Windows 10 包含增强保护模式(EPM)沙箱逃逸和一个通用的方法绕过最新版本的 EMET 5.5。
我们会从在 IE 的 JavaScript 实现中发现的漏洞开始,看我们如何利用IE的定制化堆分配器,来使最初的漏洞成为一个完整的内存读/写漏洞。随后,我们将展示我们用来绕过 Control Flow Guard (CFG)获得初始代码执行的技术。我们会谈论我们试图找到一种方式来逃逸 EPM 沙箱时候的一些思路(和失败),我们会提出一个纯粹的逻辑漏洞,它可以使我们成功地从沙箱中逃逸。最后,我们将展示能够成功地绕过最新版本的EMET的通用方法。
在整个过程中我们没有用到任何 ShellCode 或 ROP 链。我们将谈论的 data-only 攻击的优势,快速看下微软是如何解决及缓和我们上报的漏洞和利用技术的,最后总结一些未来可以在IE11或其他浏览器中使用的可能攻击方法。
多数从事计算机安全防御工作的人只从防御这个角度看问题!这个演讲中,Jason 演示攻击者是如何看待你的网站和员工的,再利用他们来攻击你。我们将从如何从企业的“关于”页面、社交网站中获取有用信息并攻击雇员开始,介绍我们如何成功地创建成功钓鱼攻击。大部分的讨论将覆盖成功的反制措施,去帮助防范和侦测这些攻击。本次演讲借鉴了演讲者在美国银行从事防御工作15年的经验,及其6年多在多个项目中扮演攻击者的经验。如果一切顺利每个人都会学到新的东西,他们可以立即回到他们的工作中进行更好的防御准备!
Agenda
• Motivation
• Typed Array Neutering Vulnerability
• Abusing IE’s Custom Heap
• The Revival of God Mode
• Escaping the EPM Sandbox
• Disabling EMET
• Conclusion