看，老妈！我没有用 Shellcode：浏览器开发利用案例研究 —— Internet Explorer 11

Moritz Jodeit

浏览器 钓鱼 浏览器开发

运行在 Windows10 上的最新版 IE11 新增了大量的漏洞利用缓和措施，试图放缓攻击者的脚步。尽管微软最近刚刚发布了他们最新的旗舰版浏览器 Edge，不过我们发现在 Edge 中引入的大量缓和措施在 IE11 中也同样存在。这些缓和措施的目的是使得攻击变得尽可能困难和昂贵。这些缓和措施通常包括 ASLR，DEP，CFG，隔离堆和内存保护，还有许多许多。如果你设法绕过所有这些，成功地把你的漏洞们转化成成功的远程代码执行，那么你将会遇到沙箱这个难题。要从沙箱中逃逸，你可能需要更多的漏洞和绕过。例如如果你想要使用内核漏洞来绕过沙箱，那么你需要绕过所有的内核利用缓和措施，如内核 DEP，KASLR，SMEP，空指针引用保护等。最后如果你希望你的利用程序在微软增强缓和工具包（EMET)下工具，那么难度就更大了。

尽管所有这一切令利用程序开发过程变的想当艰难，但如果有对的漏洞在手，依旧有可能在不需要考虑太多缓和措施的前提下进行利用程序开发。尤其当你不使用传统的 ROP 方式执行 ShellCode，而是重用浏览器本身的功能进行远程代码执行的时候。

此次演讲，我们会描述此次提交给微软并获得奖励计划最高 10 万美金的所有细节。我们将展示针对 64 位 IE11 写的一个稳定的攻击，运行在 Windows 10 包含增强保护模式（EPM）沙箱逃逸和一个通用的方法绕过最新版本的 EMET 5.5。

我们会从在 IE 的 JavaScript 实现中发现的漏洞开始，看我们如何利用IE的定制化堆分配器，来使最初的漏洞成为一个完整的内存读/写漏洞。随后，我们将展示我们用来绕过 Control Flow Guard (CFG)获得初始代码执行的技术。我们会谈论我们试图找到一种方式来逃逸 EPM 沙箱时候的一些思路（和失败），我们会提出一个纯粹的逻辑漏洞，它可以使我们成功地从沙箱中逃逸。最后，我们将展示能够成功地绕过最新版本的EMET的通用方法。

在整个过程中我们没有用到任何 ShellCode 或 ROP 链。我们将谈论的 data-only 攻击的优势，快速看下微软是如何解决及缓和我们上报的漏洞和利用技术的，最后总结一些未来可以在IE11或其他浏览器中使用的可能攻击方法。

多数从事计算机安全防御工作的人只从防御这个角度看问题！这个演讲中，Jason 演示攻击者是如何看待你的网站和员工的，再利用他们来攻击你。我们将从如何从企业的“关于”页面、社交网站中获取有用信息并攻击雇员开始，介绍我们如何成功地创建成功钓鱼攻击。大部分的讨论将覆盖成功的反制措施，去帮助防范和侦测这些攻击。本次演讲借鉴了演讲者在美国银行从事防御工作15年的经验，及其6年多在多个项目中扮演攻击者的经验。如果一切顺利每个人都会学到新的东西，他们可以立即回到他们的工作中进行更好的防御准备！

Agenda

• • Motivation
• • Typed Array Neutering Vulnerability
• • Abusing IE’s Custom Heap
• • The Revival of God Mode
• • Escaping the EPM Sandbox
• • Disabling EMET
• • Conclusion

http://bobao.360.cn/news/detail/3818.html