注:视频中所涉及的相关漏洞已被官方修复,本文仅限演示内存保护技术检测UAF漏洞功能使用。
关于UAF漏洞的原理,在网上可以找到很多分析文章,从字面含义Use After Free释放重引用来解释,其成因可以描述为一块内存被释放了之后又被使用,又被使用会引发各种奇怪的现象,这个结果是不可预测的,因为不知道会发生什么,攻击者可以精心构造恶意代码并利用漏洞来改变程序流程,达到劫持程序执行流程的目的。
2010年的Operation Aurora(极光行动)攻击就是一个典型的利用UFA漏洞实施APT攻击的例子,攻击者通过访问已删除对象相关联的指针来执行任意代码。攻击者以Google和其它大约20家公司为目标。它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。漏洞影响的IE浏览器Microsoft Internet Explorer 6、 6 SP1、7以及8等,在操作系统Windows 2000 SP4;Windows XP SP2 and SP3;Windows Server 2003 SP2;Windows Vista Gold、SP1以及 SP2; Windows Server 2008 Gold、SP2以及 R2; Windows 7等存在UAF漏洞,并最终拿下具有高级权限的敏感主机。
UAF漏洞属于二进制漏洞的一个类型,计算机程序存在安全缺陷导致攻击者恶意构造的数据(如shellcode)进入程序处理代码时改变程序原定的执行流程,从而实现破坏或获取超出原有权限。
而安芯神甲智能内存保护系统所采取的基于实时的程序行为监控、内存操作监控等技术,帮助企业防御并终止利用漏洞来执行shellcode的攻击。计算机体系结构决定了任何数据都需要经过CPU进行运算,其数据都需要经过内存进行存储,理论上基于CPU指令集和内存这一层面实现的安全方案可以有效防御所有威胁。
安芯网盾内存保护技术检测UAF漏洞利用演示示例
检测UAF漏洞演示示例展示了安芯网盾的内存保护技术,据安芯网盾团队介绍,这只是内存保护技术所体现出来的基础能力,而实时防御未知漏洞才是该技术的核心能力,它能保障用户核心业务应用程序只按照预期的方式运行,切实有效的保护客户核心业务不被阻断,核心数据资产不被窃取。
