在最近的一项研究中,韩国高丽大学的研究人员公布了 “SysBumps”,这是首次成功的内核地址空间布局随机化(KASLR)破解攻击,目标是运行在苹果硅处理器上的 macOS 系统。在 CCS ’24 大会上公布的这一研究成果突出显示了投机执行中的漏洞,这些漏洞暴露了关键的内核内存地址,给 macOS 用户带来了重大风险。
KASLR 是一种重要的内核加固技术,它能随机化内存地址,以减少内存损坏漏洞。苹果公司通过内核隔离、分离内核和用户地址空间,加强了其在苹果硅 macOS 上的实施。然而,研究人员发现了一个关键漏洞:系统调用期间的投机执行。攻击者可以利用这个缺陷绕过内核隔离,推断内核地址的有效性。
研究人员指出:“通过在系统调用中使用 Spectre 类型的小工具,未授权的攻击者可以对攻击者选择的内核地址进行翻译,导致 TLB 根据地址的有效性发生变化。他们强调了翻译旁路缓冲区(TLB)作为攻击侧信道源的作用。”
SysBumps 攻击利用了 macOS 系统调用中的投机执行漏洞。关键步骤包括
- 触发投机执行: 攻击者操纵系统调用,在投机执行过程中绕过内核地址验证检查。
- TLB 探测: 攻击者利用逆向工程 TLB 属性,通过观察 TLB 状态的变化来检测内核地址是否有效。
- 揭示内核布局: 这一过程允许攻击者推断内核基本地址,从而有效破解 KASLR。
研究人员逆向设计了苹果公司的 M 系列 TLB 架构,揭示了其关键细节,如用户进程和内核进程之间的共享设计。他们利用苹果公司的性能监控单元(PMU)实现了这一目标。
研究表明,SysBumps 可以在各种 M 系列处理器和 macOS 版本中以 96.28% 的准确率破解 KASLR。值得注意的是,该攻击可在三秒内执行,显示了其在现实世界中的实用性。
破解 KASLR 破坏了 macOS 的核心防御机制,使系统面临高级内存损坏漏洞。该攻击绕过了强大的内核隔离,揭示了对系统安全的重大影响。
苹果公司承认了这一发现,并正在调查漏洞的根本原因。
SysBumps 的完整研究报告和源代码将发布在 GitHub 上,为应对新出现的安全威胁提供有价值的见解。
发表评论
您还未登录,请先登录。
登录