《2017年度安全报告——平台漏洞》由会员分享,可在线阅读,更多相关《2017年度安全报告——平台漏洞(25页珍藏版)》请在金锄头文库上搜索。
1、360 Computer Emergency Readiness Team, February 2018 文中部分信息直接参考外部文章(见参考),如有侵权或异议请联系 cert 2017 年度安全报告 平台漏洞 Intel ME 固件漏洞 博通 wifi 芯片漏洞 WPA2 KRACK(密钥重载攻击) BlueBorne 蓝牙漏洞 Platform Vulnerabilities 淘宝店铺 “Vivian研报” 首次收集整理 获取最新报告及后续更新服务请在淘宝搜索店铺 “Vivian研报” 或直接用手机淘宝扫描下方二维码 2017 年度安全报告平台漏洞 360 Computer Emergen
2、cy Readiness Team, February 20182 平台安全是计算机安全体系中重要的组成部分。 平台对上层应用, 服务, 功能提供支持, 主要体现在硬件, 固件,协议及协议实现等。这方面有许多攻击方法,比如边信道攻击,中间人攻击,旁侧降权攻击等。 这些高级攻击方法,如果结合平台安全中的漏洞,将会十分危险。本文是 360CERT 对 2017 年平台 安全的总结。 Platform Vulnerabilities 2017 年度安全报告平台漏洞 360 Computer Emergency Readiness Team, February 20183 Platform Vulne
3、rabilities 平台安全中的攻击方法 边信道攻击 边信道最早的实践是通过采集加密电子设备在运行过程中的 时间消耗、功率消耗或者电磁辐射消耗等边缘信息的差异性进行攻 击的手段。而随着研究的深入,也逐渐从加密设备延伸到计算机内 部 CPU、内存等之间的信息传递等方面。 近年,这种攻击方法最典型的案例莫过于 Linux 下 TCP 边 信道安全问题(CVE-2016-5696)。为了减少 CPU 和带宽资 源浪费,要限制 challenge ACK 发出的数量,所以引入了这里的 ACK Throttling 机制。正是这个 ACK Throttling 机制,带来了 边信道攻击的可行性。 利用
4、边信道攻击方式,攻击者不需要处在“中间人”的位置, 整个过程不需要与受害者进行互动,这种攻击手法在平台安全中应 用广泛。 中间人攻击 中间人攻击(Man-in-the-MiddleAttack,简称“MITM 攻 击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术 手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通 信计算机之间,这台计算机就称为“中间人”。这种攻击方法通过 拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方 却毫不知情。MITM 由来已久,但在今天仍然活跃,如 SMB 会话 劫持、DNS 欺骗等攻击都是典型的 MITM 攻击。 2017 年披露了 CV
5、E-2017-0783 和 CVE-2017-8628, 攻击者利用这两个漏洞,可以分别在 Android 设备和 windows 设备上进行 MITM 攻击。 降级攻击 降级攻击主要应用在安全协议方面,比较典型的一个例子便 是 4G LTE 攻击。利用了 3GPP 的漏洞取得手机的 IMSI 码,通 过 DoS 攻击迫使手机接入黑客控制的虚假 GSM 网络中。或者把 手机导入一个与运营商网络连接的受黑客控制的合法基站上,从而 能够对手机通信进行窃听以及对上网流量进行嗅探。这种攻击方法 的应用还有很多,比如 HTTPS 降级攻击,TLS 降级攻击等。 其他 其他情景的攻击方法同样适用于平台安全
6、中, 比如暴力猜解, 重放,接口鉴权攻击等。 还有许多不常用的攻击方法,只能针对特定的环境。比如 2017 的 WPA2 密钥重载攻击,他让我们意识到,消息可能丢失 的协议可能会变得特别脆弱,毕竟这些协议用设计用来重传帧时, 就有可能密钥重载。 2017 年度安全报告平台漏洞 360 Computer Emergency Readiness Team, February 20184 Intel ME 固件漏洞 Intel 公司公布了一个严重高危级别安全漏洞,攻击者可以在目标操作系统不可直 接访问的区域进行加载 / 执行任意代码 博通 wifi 芯片漏洞 今年披露的一枚名为 BroadPwn 远
7、程代码执行漏洞,影响 Andriod 和 IOS 数十 亿台设备 WPA2 KRACK(密钥重载攻击) 针对 WiFi+WPA2 网络的攻击,名为 KRACK 的漏洞攻击方式被披露。利用 802.11i 中 4 次握手中的漏洞来最终实现解密和伪造加密的 WiFi 流量 BlueBorne 蓝牙漏洞 armis 披露了一系列蓝牙的漏洞,只要手机开启了蓝牙,就可能被远程控制。所有 Android 智能机、平板、可穿戴设备均受到 4 个高危漏洞的影响,其中有两个是 远程代码执行漏洞(CVE-2017-0781) 2017 年 5 月 2017 年 7 月 2017 年 9 月 2017 年 10 月
8、 Platform Vulnerabilities 2017 年度安全报告平台漏洞 360 Computer Emergency Readiness Team, February 20185 Intel ME 固件漏洞 事件描述 Intel 芯片中有一个独立于 CPU 和操作系统的微处理器,叫做英 特尔管理引擎 Intel Management Engine,简称 ME。多种技术 基于 ME,例如代码处理、媒体 DRM、可信平台模块 TPM 等。 ME 是一个有别于 CPU 的独立系统,它可以在不受 CPU 管控下 通过搭配 AMT(英特尔主动管理技术)来远程管理企业计算机。 AMT 技术能够
9、自动执行一个独立于操作系统的子系统,使得在操 作系统出现故障的时候,管理员能够在远程监视和管理客户端、进 行远程管理和系统检测、软硬件检查、远端更新 BIOS 、病毒码 及操作系统,甚至在系统关机的时候,也可以通过网络对服务器进 行管理操作。 该漏洞主要存在英特尔管理引擎(ME ), 英特尔服务器平台服务 (SPS),英特尔可信执行引擎(TXE)。攻击者可以模拟 ME/ SPS/TXE,来影响本地安全认定的有效性,在目标操作系统不可 直接访问的区域进行加载 / 执行任意代码,具备极高的隐蔽性,常 规方法无法检测到。 根据 intel 官方公告,相关产品漏洞一共有 8 个 CVE:CVE- 20
10、17-5705、CVE-2017-5706、CVE-2017-5707、CVE- 2017-5708、CVE-2017-5709、CVE-2017-5710、CVE- 2017-5711、CVE-2017-5712。酷睿,至强,凌动,赛扬等 部分型号产品受到该漏洞影响。 事实上,这并不是英特尔第一次被曝出产品存在严重漏洞。Intel ME 固件漏洞相对于操作系统,用户是完全透明的。操作系统的一 切安全机制,漏洞缓解机制都是无用的。 Intel ME固件漏洞主要影响的是服务器, 个人PC平台。 巧合的是, 今年的一枚博通wifi芯片漏洞影响数十亿台Android 和 IOS设备, 移动设备在今年
11、也被披露存在平台安全问题,未能幸免。 2017 年 5 月份, Intel 公司公布 了一个严重高危级别安全漏洞, 攻击者可以在目标操作系统不可 直接访问的区域进行加载 / 执行任 意代码,具备极高的隐蔽性,常 规方法无法检测到。酷睿,至强, 凌动等部分型号均受影响。 2017 年度安全报告平台漏洞 360 Computer Emergency Readiness Team, February 20186 2017 年 披 露 的 一 枚 名 为 BroadPwn 远程代码执行漏洞, 影响 Android 和 iOS 数十亿台设 备。7 月初,谷歌,苹果陆续发布 了安全补丁。未进行安全更新的设
12、 备,一旦置身在恶意 WiFi 范围内 就会被黑客捕获、入侵。当手机打 开 wifi 时,无需任何操作,攻击 者便可在我们毫无察觉的情况下, 完全控制手机,这是多么恐怖的事 情。 博通 wifi 芯片漏洞 背景及相关知识 在过去的一段时间, Wi-Fi的使用再移动设备上已经普及。 逐渐地, 涉及物理层,数据链路层的 Wi-Fi 已经发展成为一套健全的规范。 为了拓展和解决各种未知的复杂问题,供应商已经开始生产基于 “FullMAC”的 Wi-Fi SoC。这些是小的 SoC 执行所有 PHY, MAC 和 MLME 数据处理。FullMAC 芯片容易集成,在固件中实 现 MLME 处理,这种解
13、决方案降低了主机端的复杂性,十分受厂 商欢迎。但是引入这些新硬件,运行专有和复杂的代码库,可能会 削弱设备的整体安全性,引入危及整个系统的漏洞。 技术分析 参考 Google 的 Project Zero 团队对该漏洞的分析,问题出在内 部通信渠道。 上图是追踪处理事件框架(dhd_wl_host_event)的入口点的控 制流程,我们可以看到几个事件接收,并被独立处理。一旦初始完 成,帧就被插入队列。然后事件由内核线程出队列,其唯一用处是 从队列中读取事件并将其分派到相应的处理函数。这种关联是通过 使用事件的内部“event_type”字段作为处理函数数组的索引来 完成的,采用的 evt_h
14、andler。 2017 年度安全报告平台漏洞 360 Computer Emergency Readiness Team, February 20187 该漏洞太过复杂,一些先决条件我们不进行探讨,直接指出到漏洞 关键点:处于dhd_handle_swc_evt 函数的total_count字段。 漏洞的逻辑可归结为: “ WLC_E_PFN_SWC ” 类型的事件处理 SWC。 通信中的每个 SWC 事件帧包含事件(wl_pfn_significant_ net_t),总计数(total_count )和数组中的事件数(pkt_ count )。 当接收到 SWC 事件代码时,触发一个初始
15、处理程序来处理 事件。处理程序在内部调用“ dhd_handle_swc_evt ”函 数来处理事件的数据。 dhd_handle_swc_evt 处理函数无法验证 total_count 和 pkt_count 之间的关系。 关键函数: “event_data”是通信的事件中封装的任意数据,函数首先初始 化一个数组来保存事件的总数(如果之前没有分配的话),然后在 缓冲区中建立 results_rxed_so_far 与传入数据的联系。但是, 处理程序无法验证 total_count 和 pkt_count 之间的关系!攻击 者可以指定一个小的 total_count 和一个大的 pkt_co
16、unt ,触发 一个简单的内核堆溢出。之后可以通过一些堆溢出利用方法,实现 远程代码执行。 该漏洞影响 Android 和 iOS 数十亿台设备。我们使用的智能机, 平板电脑,都支持 wifi 功能,如果使用了博通受影响芯片的设备, 均在危险之中。wi-fi 芯片这种基本的元件存在的漏洞,如果被利 用的话,那么会有杀伤力会很惊人。我们都知道现在的智能机都支 持热点功能,如果将该漏洞做成蠕虫勒索病毒,感染后,开启免密 热点吸引其他手机连接,通过无线网络进行传播,俨然一场低配版 的 Wannacry。 说到 wifi 芯片漏洞,不得不提今年披露的 WPA2 KRACK(密 钥重载攻击),不止我们使用的设备不安全,我们 wifi 使用的 WPA2 加密协议也存在问题。 2017 年度安全报告平台漏洞 360 Computer Emergency Readiness Team, February 20188 WPA2 KRACK(密钥重载攻击) 相关知识 当客户
