dd if=patched_tz.img of=/dev/block/…/tz
如果想运行自己的TZ代码而又不想从头创建一个安全的系统,那你就需要用到逆向工程技术分析tz_img。查找并复制TrustZone分区,分解,分析然后修补。然后查找导出的系统调用,用strings和grep找系统调用的名称,然后到系统调用代码的指针,执行修补ELF标头(分段),然后修补get_version,然后get_version会返回一个新的值。如果你需要更多空间创建新函数,那你就需要在TZ中创建新分段(在这期间,需要禁用DACR)。生成ARM代码并执行,然后会发现一个table,然后就可以完全访问一个框架,就意味着这个实验成功了,不需要任何的NDA、开发板和仿真。需要注意的是,在这个过程中,调式代码很烦。
一个价值10万美元的漏洞长啥样?
在去年的SyScan360上,两位黑客米勒和瓦拉塞克大破克莱斯勒让人印象深刻。而今年,则是一位获得了微软10万元漏洞奖励的神奇小子来与我们分享他的杰作。虽然Moritz Jodeit(Blue Frost Security GmbH研究总监)刚刚出道半年,但名头可不小。他与我们分享了他发现的那个叫做“类型化数组压制漏洞”的案例。整个议题包括7各部分,各个部分层层相接,吊人胃口。
这其中属类型化数组压制漏洞和EMET我最感兴趣。因为一个是获奖的漏洞,另一个是还未解决并且没有计划解决的漏洞。
类型化数组压制漏洞(CVE-2016-3210)可以导致并行线程中的JavaScript执行,通过消息传递进行通讯,对象的所有权可以转让。二他们对该漏洞的攻击策略就是,使用两种不同大小的类型化数组多次触发漏洞,使用之前释放的ArrayBuffer对象创建几个空闲的对快,然后在分配之间交替,分配不同大小的LargrHeapBlock对象,填充之前在堆上创建的空位,然后创建需要的堆布局,破坏第一个整数数组,最后修改类型化数组就完成了攻击。
当然,他们还讲到了“上帝模式”和保护模式绕开CVE-2014-1762漏洞。
当然,除开EMET之外,其他漏洞均得到了修复。而EMET绕过暂未得到修复,并且微软并没有解决计划(略表遗憾)。
除了上面这些议题,Syscan胸牌破解大赛在经过这两天的角逐后,今天也终于产生了最终结果。在全部的参赛选手中,工产生了12位获奖者,奇虎360 Thomas为各位获奖者颁奖。
获奖名单
获奖者合影
这一天的大会,大约现场能从头到尾观摩全程的也都需要对十分技术化的议题消化良久。尤其对于漏洞的讲解,如ARM的TrustZone这类原本为安全设计的黑匣子,居然都能被利用,可见当代数字世界那些牢不可破的神话终究也只是神话。
Moritz Jodei在演讲的时候就说过,现代漏洞攻击缓解增加了攻击难度,但是借助合适的漏洞,攻击者仍然能够创造性的绕过很多缓解措施,而所有纯数据攻击可避开很多缓解措施,随着CFI解决方案的成熟,纯数据攻击将大为增加,这印证了安全的持久战仍将继续,只要数字世界在持续迈进,安全都将成为永恒话题。
发表评论