溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

個操作系統(tǒng)對MOV SS/POP 指令處理存在的是什么缺陷

發(fā)布時間:2021-12-20 19:33:56 來源:億速云 閱讀:156 作者:柒染 欄目:大數(shù)據(jù)

這篇文章將為大家詳細講解有關個操作系統(tǒng)對MOV SS/POP 指令處理存在的是什么缺陷,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

0x00 漏洞描述

操作系統(tǒng)的開發(fā)者沒有正確處理Intel 64和IA-32架構軟件開發(fā)人員手冊的系統(tǒng)編程指南中的一則聲明,導致MOV SS/POP SS指令延遲的#DB異??赡墚a(chǎn)生意外的行為,引起操作系統(tǒng)崩潰甚至可以被用來提權(CVE-2018-8897)。在KVM中也存在類似的問題(CVE-2018-1087)。該漏洞影響范圍廣,危害等級重要。

0x01 漏洞影響面

漏洞影響Windows/MacOS/FreeBSD/Linux內核等現(xiàn)代流行的操作系統(tǒng)和KVM/Xen等虛擬化系統(tǒng)。

0x02 技術細節(jié)

假設現(xiàn)在要執(zhí)行下面這兩條指令:

個操作系統(tǒng)對MOV SS/POP 指令處理存在的是什么缺陷

同時設置了一個硬件訪問斷點,剛好mov ss, [rax]指令會觸發(fā)這個硬件訪問斷點。

個操作系統(tǒng)對MOV SS/POP 指令處理存在的是什么缺陷

由于mov ss和pop ss指令會懸掛異常和中斷,所以mov ss, [rax]指令雖然會產(chǎn)生硬件中斷,但中斷會被掛起,直到下一條指令執(zhí)行完畢后才響應中斷。執(zhí)行int 3指令優(yōu)先響應 int 3中斷,CPU切入內核,執(zhí)行IDT對應的3號中斷向量。int 3中斷會判斷此次int 3來自R3還是R0,如果來自R3,選擇交換GS。

個操作系統(tǒng)對MOV SS/POP 指令處理存在的是什么缺陷

但是此時還懸掛一個硬件中斷,所以當執(zhí)行第一條之前,就會立馬去執(zhí)行IDT 對應的1號中斷向量,此時還沒有交換GS。int 1屬于中斷門,此時是由int 3 響應代碼中斷過來的,權限為R0,會使用原來的GS。這樣就在內核模式異常處理程序中運行了用戶模式中設置的GS,可能會造成意外的后果。

下面是對公布在github上的在windows上利用此漏洞的提權代碼中關鍵點的簡要分析。

windows系統(tǒng)崩潰時會執(zhí)行KeBugCheckEx,KeBugCheckEx中會執(zhí)行RtlCaptureContext和KiSaveProcessorControlState,這給了我們獲取程序控制流的機會。

個操作系統(tǒng)對MOV SS/POP 指令處理存在的是什么缺陷個操作系統(tǒng)對MOV SS/POP 指令處理存在的是什么缺陷

如果我們通過設置DR寄存器在gs:20h+0x40+0xA0處設置一個硬件訪問斷點(作者給的偏移是gs:20h+0x100+0xA0),就能在KeBugCheckEx中進入到KiDebugTrapOrFault,KiDebugTrapOrFault->…->RtlCaptureContext,用戶空間中的線程讀取一次RSP,繼續(xù)KiDebugTrapOrFault->…->RtlCaptureContext,用戶空間中的線程再讀取一次RSP,因為執(zhí)行的流程一樣,根據(jù)兩次RSP值的差可以計算出下一次調用RtlCaptureContext時RSP的值,減去0x8是返回指針存放的位置。

個操作系統(tǒng)對MOV SS/POP 指令處理存在的是什么缺陷

接下來構造了一個禁用SMEP并跳轉到shellcode的ROP鏈,存在XMM13-XMM15中。

個操作系統(tǒng)對MOV SS/POP 指令處理存在的是什么缺陷

前面把返回指針存放的位置減去XMM13在Context結構體中的偏移存在了偽造的PCR的結構中,之后恢復Context寫XMM13-XMM15的時候ROP鏈覆蓋了返回指針,從而執(zhí)行了shellcode。成功利用之后效果如下。

個操作系統(tǒng)對MOV SS/POP 指令處理存在的是什么缺陷

個操作系統(tǒng)對MOV SS/POP 指令處理存在的是什么缺陷

0x03 修復建議

目前多家受影響的廠商已經(jīng)提供了相關的補丁,360CERT建議廣大用戶按照提示進行更新,防范利用該漏洞的攻擊。

Apple:https://support.apple.com/en-us/HT208742

FreeBSD Project:https://www.freebsd.org/security/advisories/FreeBSD-SA-18:06.debugreg.asc

Microsoft:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8897

Red Hat:https://access.redhat.com/security/vulnerabilities/pop_ss

Ubuntu:https://usn.ubuntu.com/3641-1/

Ubuntu:https://usn.ubuntu.com/3641-2/

Xen:https://xenbits.xen.org/xsa/advisory-260.html

Linux Kernel:https://patchwork.kernel.org/patch/10311005/

Linux Kernel:https://patchwork.kernel.org/patch/10310757/

關于個操作系統(tǒng)對MOV SS/POP 指令處理存在的是什么缺陷就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節(jié)

免責聲明:本站發(fā)布的內容(圖片、視頻和文字)以原創(chuàng)、轉載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權內容。

AI