随着37C3欧洲混沌通讯年会上,来自俄罗斯的卡巴斯基研究员对 Operation Triangulation(三角测量行动)漏洞利用链震惊世界的曝光,安全社区在 2023 年底迎来一轮大狂欢。
2023 可能是持续不断的数字安全战争的关键一年。
2018 年,苹果公司在 iPhone XS 机型上首次部署启用 PAC 硬件机制;
2023 年,Google公司在 Pixel 8 手机上开启了内存标记扩展 MTE。
在这些高级安全缓解措施的推动下,我们正见证一场深刻的安全攻防变革。
虽然这些防御机制有望带来巨大的安全收益,但它们同时提出了一个令人深思的问题:
除了主要的内存破坏攻击,还有什么攻击路径?
不久的将来,我们是否会看到更复杂和不可预测的攻击利用方法的兴起?
不仅硬件层,操作系统领域也正在经历一场新变革。
华为 HarmonyOS、小米 HyperOS 和 vivo BlueOS 等新玩家相继登上舞台。
新安全特性和隐私保护机制都成为这些系统的亮点。
然而一个关键的不确定性仍然存在:
这些新来者,会从过去操作系统的历史失误中吸取教训,还是会再度面临过去的挑战、陷入不断地与漏洞斗争的宿命呢?
复杂的供应链攻击的兴起又增加了一层复杂性。
最近影响不同平台软件的 libwebp 漏洞就是例证:
国际巨头快速协调同步漏洞威胁信息的背后,国内庞大的相关生态似乎被彻底遗忘。
笼罩在所有这些问题之上的,是勒索软件无所不在的阴影,它可以说是我们这个时代最重大的网络威胁。
甚至,披着正规或巨头的外衣依然实施非法攻击的现象,依然未完全消除。
我们该如何有效抵御这些日益复杂的攻击、保护身为最终用户的我们每一个人?
当我们站在下一个十年的悬崖边时,2023 年注定成为具有深刻转折点意义的一年。
新防御机制的部署和新攻击技术的涌现,将对数字安全格局产生持久影响。
《深蓝洞察 | 2023 年度安全报告》,尝试在这关键的十字路口,更深入地探讨不断变化的新威胁、新攻击技术及可能的防御解决方案。
以下为本期深蓝洞察年度安全报告的第一篇。
2023 年的 9 月 7 日,Apple 发布了紧急安全更新,修复一个类似”三角测量行动”的 0click 在野攻击利用所使用的漏洞。
四天后的 9 月 11 日,Google 紧随其后发布新版本 Chrome,修复了其中存在的同一个漏洞;
又过一天,Mozilla 为 Firefox 发布补丁,同样修复了同一个漏洞。
他们的修复都指向了相同的关键目标 —— libwebp。
究竟是什么样的漏洞,让三大厂商如此般重视?
DARKNAVY·深蓝第一时间对此漏洞展开分析,通过定位 Apple ImageIO 文件进行 bindiff,结合开源补丁,最终成功复现 PoC,并在多平台多软件上验证发现该漏洞均可被触发。
我们意识到,此漏洞的影响范围之广泛、触发方式之丰富,确属罕见。
彼时,不仅主流操作系统 iOS、Android、Linux、Windows下的常用软件如微信、钉钉等受影响,更有无数路由器、摄像头、智能家居等嵌入式设备由于都引用了 libwebp 库,也受此漏洞影响。
9月22日,国外 Isosceles 公开发布了该漏洞 PoC,而当时国内依然还并未对此漏洞引起足够的重视。
考虑到 PoC 可能带来广泛的攻击风险,深蓝即日发布了「 特别预警」这个新iMessage 0-Click 漏洞可能影响你,敦促下游厂商尽快重视修复此漏洞。
深蓝的提醒得到了很多企业团队的认可与致谢,同时也收到了意料之中的一些不同声音:
基于多年对业界安全应急响应领域的了解,我们清楚,不同的意见大概率源于对漏洞研判理解和应急响应经验的不足:
在发布预警后,就有测试人员反馈网上公开的 PoC 并不能在软件实际运行环境中崩溃,仅能在带 AddressSanitizer 编译的测试程序中崩溃。
事实上,背后的技术原因是:
默认的霍夫曼表分配空间为 0x2e28,这个大小在 Chrome 与 Safari 的环境中,分配出的堆块大小为 0x3000,而漏洞造成的溢出长度在 0x190 左右,刚好不能造成实际的破坏。
要构造实际可用的样本,研究人员需要利用霍夫曼表的其他特性使得所需空间更接近 0x3000。
于是 11 月 3 日,我们选择发布「 深蓝洞察」满分10分的libwebp漏洞利用技术研判报告,尽可能详细并负责任地阐述,这个品相较差的漏洞是如何进行破坏利用的,以帮助更多安全团队更深入理解并修复。
经过深蓝的复测,绝大部分受影响的厂商随后均已修复此漏洞。
故事至此,似乎画上了一个圆满的句号。
12 月 16 日,Google 公开了此漏洞的 issue 页。
绵长的 issue 页详细展示了漏洞修复的过程,与以往在野漏洞不同的是,此次漏洞报告者并非大家熟悉的 Google TAG 成员,而是 Apple Product Security。
这一封机密邮件时隔多月终于公诸于世,在其中, Apple 向 Google 共享了漏洞详情及 PoC,协商如何披露此漏洞。
有二十年漏洞应急响应经验的深蓝,不禁产生疑问:
“为何 Apple 仅向 Google 共享如此重要的威胁情报?微软、华为等其他巨头呢?
libwebp、Chrome 生态下游更多的无数软件无需第一时间知情吗?
Apple 和 Google 在意自己用户的安全,却视其他无数同受影响产品的用户安全如敝履吗?“
一直以来我们面对的,都是在野漏洞被不断利用,各种网络攻击层出不穷的复杂环境。
如此真实背景下,不同国家、组织之间的信息孤岛现象依然尚未改观,这对于应对安全挑战极为不利。
如何建立负责任、高效的威胁情报共享机制,在当今在野漏洞攻击横行的年代,已成为一个必须解决的问题。
明日,请继续关注《深蓝洞察 | 2023 年度安全报告》第二篇。
原文始发于微信公众号(DARKNAVY):「深蓝洞察」2023 年度最野的漏洞