基于JavaScript的ASLR旁路攻击简化了浏览器漏洞利用

研究人员设计了一种新的攻击，可以绕过浏览器中的主要利用缓解之一：地址空间布局随机化（ASLR）。该攻击利用现代处理器如何缓存内存，因为它不依赖于软件错误，修复问题并不容易。

Vrije Universiteit Amsterdam（Vusec）的系统和网络安全集团的研究人员推出了攻击，在10月以来与处理器，浏览器和OS供应商协调后，将ANC Dubbed Anc。

ASLR是所有主要操作系统中存在的功能。包括浏览器在内的应用程序，利用它来利用存储器损坏漏洞，如缓冲区溢出更加困难。

缓解技术涉及随机排列过程使用的存储器地址空间位置，使得攻击者不知道在哪里注入恶意代码，以便该过程执行它。

有些方法可以绕过ASLR，但它们通常涉及将多个漏洞链接在一起，包括允许内存披露的漏洞。这次新攻击删除了这种额外漏洞的需求，使得对远程代码执行错误的利用更容易。

“这种新攻击确实非常有趣，如果据报道，漏洞情报公司漏洞风险安全，通过电子邮件的漏洞智能公​​司风险安全的首席研究官Carsten Eiram表示。“它可以在不同平台上的许多代码执行类型漏洞中链接，甚至可以支持JavaScript的不同软件，例如浏览器。最重要的是，它似乎很快允许打破ASLR，所以在现实生活中看起来很实际，而不仅仅是理论或学术。“

是什么让攻击有趣的是它不依赖于任何特定的软件功能。它利用现代处理器的存储器管理单元（MMU）执行内存缓存以提高性能的方式。

事实证明，这可以用作直接从JavaScript泄漏堆的侧通道和代码指针，即ASLR应该隐藏。

同一研究人员去年设计了针对Microsoft Edge的不同ASLR旁路攻击。这种攻击依赖于一个名为Memory重复数据删除的软件功能，Microsoft稍后禁用以保护用户。

在ANC中不可能，因为问题的核心是在硬件级别，并且可以在现有的CPU中修复。但是，浏览器供应商可以进行某些调整，这将使攻击更加困难。

例如，攻击需要JavaScript中的精确定时器，先前禁用一个可用于类似缓存定时攻击的一个功能的浏览器供应商。Vusec研究人员发现了两种建立ANC使用的定时器的新方法，因此浏览器供应商现在也可以阻止这些。但是，没有保证未来发现其他方法。

研究人员提出了对CPU，OS和浏览器供应商的几个变化，可以使ANC-Like攻击更难退出，但其中一些可能具有需要进一步调查的性能影响。到目前为止，Apple产品安全团队与研究人员合作，将WebKit硬化对抗ANC攻击。

“问题是硬件中的根本，不能完全消除软件对策，”Vu Amsterdam助理教授和ANC“的作者，通过电子邮件，助理教授Cristiano Giuffrida表示。“甚至硬件对策也许太昂贵，无法考虑保存ASLR（由我们与之交谈的一些硬件供应商暗示）。”

如果这不是ASLR的棺材中的最后一个钉子，那么我们就像我们所知道的ASLR一样，这是一块棺材里的最后一块钉子，Giuffrida说。

ANC可能会对浏览器产生影响，尽管浏览器是最明显的目标，因为Web上的JavaScript广泛使用。但是，允许执行JavaScript代码的任何软件都可能易受攻击，包括PDF读取器。

如果这次攻击导致浏览器漏洞的复苏，这是不清楚的。在过去的几年中，以大规模的驱动器攻击使用的利用套件主要集中在浏览器插件中的漏洞，如Flash Player，Java或Silverlight，而不是浏览器本身的缺陷。

Eiram说，时间将告诉，但绕过Aslr只是其中一个剥削拼图。他说，浏览器就像沙盒一样，也需要被打败以实现任意代码执行。