关于DEP被绕过的报告
昨天我们收到报告,称存在可绕过DEP(数据执行保护)的商业化漏洞利用程序。该漏洞利用程序已提供给少数主要安全厂商(杀毒软件、IDS和IPS厂商)和政府CERT机构。我们希望借此机会概述当前客户与此DEP绕过相关的风险。
实际攻击目前仅对Internet Explorer 6有效
我们观察到利用安全公告979352中详述漏洞的攻击有所增加。然而,到目前为止,所有观察到的攻击仍针对Internet Explorer 6——这一点也得到了我们Microsoft Active Protections Program(MAPP)合作伙伴提交的攻击样本的确认。
虽然我们尚未看到针对其他平台的实际攻击,但我们注意到研究人员正在试探其他平台,并观察到以下情况:
- 私有概念验证代码可在Windows XP上利用IE7执行任意代码
- 私有概念验证代码可在未启用DEP的Windows Vista上利用IE7,在保护模式沙箱内执行代码。我们未发现任何在启用DEP的Windows Vista上利用的概念验证代码
- 商业化、有限分发的概念验证代码可在启用DEP的Windows XP上利用IE8执行任意代码
各平台攻击者研究的最新进展
以下是各平台当前的最新情况:
| Windows XP | Windows Vista | Windows 7 | |
|---|---|---|---|
| IE 6 | 公开漏洞利用代码始终可靠地执行任意代码 | N/A | N/A |
| IE 7 | 私有概念验证可能始终可靠地执行任意代码 | 私有概念验证可能始终可靠地在保护模式沙箱内执行有限代码 | N/A |
| IE 8 | 商业化有限分发漏洞利用确实能在启用DEP时成功执行代码 | 无已知概念验证代码。修改后用于Windows Vista的当前漏洞利用可能在1%的攻击尝试中在保护模式沙箱内执行有限代码,99%会导致IE崩溃。由于ASLR存在,漏洞利用可靠性大幅降低 | 无已知概念验证代码。修改后用于Windows 7的当前漏洞利用可能在1%的攻击尝试中在保护模式沙箱内执行有限代码,99%会导致IE崩溃。由于ASLR存在,漏洞利用可靠性大幅降低 |
其他缓解措施(除DEP外)
我们在本博客中详细讨论了DEP。如上表所示,另外两种缓解措施有助于防止或限制后期平台上攻击的影响:
- Internet Explorer保护模式限制了Windows Vista和Windows 7上漏洞利用的影响。能够成功利用这些平台上Internet Explorer的攻击者会被困在"沙箱"中,可能能够读取数据但无法安装程序或更改系统配置
- **地址空间布局随机化(ASLR)**通过将通常可预测的代码位置伪随机地重新定位到内存中,使利用漏洞更加困难。ASLR将DLL重新定位到内存中的随机位置,使ret2libc类型攻击不可靠。由于ASLR,我们认为针对Windows Vista或Windows 7上Internet Explorer 8的漏洞利用可能仅在1%的尝试中实现有限代码执行
即将发布的带外更新
我们将在明天上午PST时间发布一个全面、经过充分测试的安全更新来解决此漏洞。同时,我们希望这些信息能帮助您评估风险并保护您的环境。
致谢
感谢Matt Miller和John Lambert在ASLR计算和其他反馈方面的帮助。
2010年1月20日更新:将"小于1%“更新为"1%"。感谢读者Larry发现计算错误。
2010年1月22日更新:更新以反映对IE8/XP SP3上商业化有限分发漏洞利用的新理解。同时删除了理论1% ASLR成功几率背后的公式。该公式偏差了零点几个百分点,且描述它的数学计算难以解释。几率约为1.1%。
- Jonathan Ness, MSRC工程部
发布内容"按原样"提供,不提供任何担保,也不授予任何权利。