【科讯】Edge沙盒再曝隐患：腾讯安全湛泸实验室打破Win 10“叹息之壁”

本篇文章1560字，读完约4分钟

作为ie的继承人，edge浏览器对微软寄予很大的期待。 除了技术升级和扩展功能外，安全也是微软重点投入的行业。 沙盒的引进大大加强了浏览器对攻击的防御能力，但在永远不停战的网络攻击战场上，没有永远的安全，只在早期发现脆弱性就不怕攻击。

在8月28日举行的网络安全领导峰会( css )腾讯安全搜索论坛( tsec )上，来自腾讯安全湛实验室的高级安全研究者rancho han和陈楠在议题“打win10叹息之墙， 通过微软在内核方面的深入研究，这个议题获得了tsec专业奖。

(腾讯安全湛濂室高级安全研究员rancho han，陈楠在tsec )

win32k filter迂回的道路被堵住后，3d渲染界面将成为新的危险

沙盒又称沙盒( sandbox )，是计算机安全行业的虚拟技术。 如果程序试图运行，安全软件可以首先在沙盒中运行，如果含有恶意行为，可以禁止程序的进一步运行，以免对系统造成危害。 微软edge浏览器的沙盒减少了对系统资源、接口和设备的多个访问，为系统设置了高墙。

但是沙盒的存在并不能让edge浏览器放心，只不过开拓了攻防的新战场。 今年4月在荷兰阿姆斯特丹举行的hitb大会上，rancho han首次发表了三种不同的沙盒逃脱方法和罕见的win32k filter绕过方法，得到了微软的官方感谢。 但是微软方面也在大会上发言，win32k filter的使用到此结束。

rancho han说，从那时起，随着用win32k filter过滤的列表不断扩大，试图通过win32k访问系统内核的道路逐渐受阻。 但是，在研究函数调用的过程中，研究者发现了有趣的现象，许多ntgdiddi开头的函数是通过windows directx的图形内核子系统实现的。 研究者敏锐地认识到directx可能是突破口。

陈楠解释说，当directx需要与显卡作为微软提供的3d渲染接口时，directx内核的一部分属于windows显示器驱动程序框架。 这样，系统内核就必须联系接口和驱动程序。 这些驱动程序既有微软提供的，也有第三者提供的。 现在，新的安全隐患浮现在地平线上。

突破沙盒的最后一击:编号cve--0977漏洞

研究者详细分析了directx kernel、mms系列( mms1和mms2)、miniport driver以及第三方驱动程序和接口的攻击方面。 在此基础上进行了进一步的随机化和模糊测试。

之后，rancho han介绍了去年10月末在模糊化测试中检测出的脆弱性的例子，给出了编号cve--0977。 在研究过程中，如果客户经过特殊结构的条件和属性向子系统发送命令，则子系统在将命令传输到系统进程时，basic render engine (基本渲染引擎)对客户参数进行比较有效的验证 之后，相继发现了三个相似的洞。

但是，找到漏洞并不意味着可以直接突破edge沙盒，必须在系统防御下建立严峻的攻击环境。 沙盒高墙侧的系统资源已经在附近，但到达的路径是隐蔽的。 模糊测试在客户的过程中，但漏洞路径的执行和崩溃在系统过程中。 这时，需要另一个洞来促使研究者找到道路的入口。

研究人员回顾了已经检测到的漏洞，发现在第1709号测试结果中新添加的api (应用程序编程接口)没有被考虑到安全。 陈楠说，小组以此为突破口，在给内核分配任意大小的池内存的同时，还完全读取了池内存内的副本。

最后，陈楠明确了球队是如何突破沙盒的最后一公里引起新闻泄露，取得了nt的地址，算出了rop in kernel的指令地址。 配置rop数据，再次触发新闻泄露，取得配置的内核数据地址。 如果把这个地址嵌入cve--0977漏洞，触发后在内核上进行rop，可以实现系统资源的改写，最突破了edge的沙盒。