《李强-QEMU漏洞之殇》由会员分享,可在线阅读,更多相关《李强-QEMU漏洞之殇(23页珍藏版)》请在金锄头文库上搜索。
1、奇虎360信息安全部 云安全研究员 QEMU漏洞之殇 李强 奇虎360信息安全部 漏洞挖掘与利用 QEMU安全研究 - 目前发现30多个漏洞,已获得14个CVE,剩余仍在处理 关于我 目录 QEMU简介 QEMU设备模拟 QEMU漏洞分析 QEMU漏洞挖掘心得 QEMU简介 QEMU简介 QEMU整体架构 Physical Hardware Host Operating System Hypervisor Virtual Hardware Guest Operating System Guest Applications Virtual Hardware Guest Operating Sys
2、tem Guest Applications QEMU设备模拟 QEMU设备模拟 虚拟机中操作系统期待真实的硬件 QEMU模拟各种各样的硬件 网卡,VGA,磁盘等 QEMU设备模拟 QEMU设备模拟 KVM做转发 虚拟机-QEMU的数据流 QEMU设备模拟 QEMU映射一段内存作为模拟设备的BAR-MMIO QEMU为模拟设备注册端口-PIO 正常的设备驱动通过IO port和MMIO驱动设备 恶意驱动也可以写设备的IO port和MMIO QEMU漏洞分析 QEMU漏洞分析 39% 31% 9% 5% 5% 5% 3% 3% 漏洞分布 缓冲区溢出(39%) 越界读写(31%) 死循环(9%)
3、 信息泄露(5%) 空指针引用(5%) 内存泄露(5%) UAF(3%) 算术异常(3%) QEMU漏洞分析 vmxnet3漏洞分析 QEMU漏洞种类繁多 一个设备一般也就2、3种漏洞 vmxnet3有6种不同类型的漏洞(本人独立发现 其中的5个),包括内存泄露,UAF,空指针 引用,死循环,信息泄露,缓冲区溢出 QEMU漏洞分析 vmxnet3设备模拟 driver提供一块shared memory的物理地址给 vmxnet3网卡 vmxnet3网卡从shared memory取数据,执行各 种命令 CVE-2016-2841 QEMU漏洞分析 内存泄露 漏洞发现:内存泄露是 QEMU中很常
4、见的bug 漏洞成因:激活设备时未对 当前设备的状态进行判断, 能够多次激活设备 漏洞危害:内存泄露,耗尽 宿主机内存 CVE-2016-2841 CVE-2016-2841 QEMU漏洞分析 UAF 漏洞发现:意外发现,将 vmxnet3反激活之后,发现进程 崩溃 漏洞成因:在将设备反激活之 后,相关数据结构已经free掉 了,但是依然可以写bar 0空间, 从而使用释放掉的数据结构 漏洞危害:代码执行,QEMU进 程崩溃 CVE-2016-2841 CVE-2016-2841 QEMU漏洞分析 空指针引用 漏洞发现:这里本质上是一 个整数溢出漏洞 漏洞成因:没有对 max_frags做检查
5、,导致了 g_malloc(0),p-raw赋值 为NULL 漏洞危害:QEMU进程崩溃 CVE-2016-2841 CVE-2016-2841 QEMU漏洞分析 死循环 漏洞发现:典型的QEMU 漏洞之一,循环处理网络 数据包、SCSI和USB主控 处理请求帧都经常存在这 类问题 漏洞成因:未考虑 fragment_len=0的情况, 会导致more_frags不变, 循环条件不会改变 漏洞危害:会导致QEMU 虚拟机CPU占用率长时间 保持在100%,拒绝服务 CVE-2016-2841 QEMU漏洞分析 信息泄露 漏洞发现:QEMU常见 漏洞之一,QEMU向虚 拟机写入数据 漏洞成因:t
6、xcq_descr 没有完全初始化就写入 虚拟机内存 漏洞危害:泄露QEMU 栈上的数据,能够用于 ASLR的绕过 CVE-2016-2841 QEMU漏洞分析 堆溢出 漏洞发现:网卡在处理 数据包的过程中,会使 用数据包中的数据 漏洞成因:l3_hdr- iov_len从数据包中解 析而来,表示IP头大 小,未做大小判断,在 iov_bo_buf,最后一个 参数会导致整数下溢 漏洞危害:代码执行, QEMU进程崩溃 CVE-2016-2841 QEMU漏洞挖掘心得 CVE-2016-2841 CVE-2016-2841 代码审计发现漏洞 QEMU漏洞挖掘心得 太阳底下无新事,QEMU 漏洞与其他软件漏洞并没 有什么区别 熟悉数据流 熟悉漏洞类型 CVE-2016-2841 CVE-2016-2841 结语 虚拟机逃逸相关:CVE-2016-4439 致谢:蔡玉光,胡智斌 Q&A CVE-2016-2841 CVE-2016-2841 谢谢
