美国当地时间7月31日-8月5日,BlackHat USA 2021大会在拉斯维加斯召开。Blackhat USA 大会从1997年创办至今已举办了25届,每年向外界输送最新的网络安全研究成果、发展趋势等前沿资讯,是公认的世界信息安全行业的顶级盛会。由于新冠疫情的影响,今年大会采用“大会现场体验和网上虚拟体验”相结合的混合形式进行。
今年,360政企安全集团一项重磅漏洞研究成果被这年度顶级安全技术会议收录,来自360 Alpha Lab的研究员韩洪立、简容、王晓东、周鹏发表了主题为《飓风山竹:远程通杀Root利用链》(TyphoonMangkhut: One-click Remote Universal Root Formed with Two Vulnerabilities)的演讲。
在安卓系统中存在一种超级武器,它就是ROOT,这种技术可以从低访问权限提升至系统的超级用户权限。因此,将远程攻击入口与ROOT提权漏洞结合起来就像是为“核弹头”装配了发射架,使其成为真正的“洲际核导弹”!如果这类利用链被黑客在野利用,其危害将不可估计。360政企安全集团始终致力于抢先发现这类潜在威胁,并协助厂商修复,及时为安卓用户排除安全风险。
去年7月,360 Alpha Lab给谷歌上报了一条远程ROOT利用链,该利用链首次实现了针对谷歌旗舰机型Pixel 4的一键远程ROOT,并且可以在用户尚未察觉的情况下实现对手机设备的完全控制。截至漏洞公开前,360 Alpha Lab已协助厂商完成了相关漏洞的修复。
根据360 Alpha Lab的报告,相关问题代码最早在2016年的一次代码更新中引入但没有直接造成安全问题,而此后的2018年8月的一个补丁则将其变成了可利用的安全漏洞。同一时期,现实世界出现了名为“山竹”的超级飓风,其开始登陆时中心附近最大风力达到14级,所到之处满地疮痍。在内核世界里,这枚漏洞也拥有如飓风“山竹”般强大的威力,因此360 Alpha Lab的安全研究员将其命名为“飓风山竹”利用链。据了解,这是目前已知的首次远程ROOT Pixel 4利用链。
“飓风山竹”利用链最为突出的特点就是简短、通用。自2008年9月谷歌发布安卓第一版,安卓系统经历长达十余年的高速发展,目前已拥有高达二十几亿的活跃用户,其安全防护水平也日臻完善,并从用户态到内核建立了层层防护来保护其安全。而该利用链仅用了两个漏洞就成功实现了远程ROOT,这种利用链在业界历史上都非常少见。同时,在层层安全防护之下,360 Alpha Lab的研究员经过深入研究,找到了一种通用的漏洞利用模型,基于该模型实现了极为巧妙的利用方案,仅触发了一次漏洞就拿到了稳定的任意地址读写元语,实现了从沙箱进程直接逃逸至内核世界。且该方案具有通用性,几乎不需要适配。
这类利用链攻击难度较低,仅需发送一条攻击链接给目标用户。针对这类利用的防护难度也极高,对于一些垃圾短信、群发消息中的链接要谨慎点击。利用该利用链完全控制受害者手机后,由于拥有了超级用户权限,可以轻而易举的实现截屏、读取短信、窃取照片、拨打电话等,直接影响了安卓用户的隐私安全、财产安全甚至生命安全。由于该利用链的特点,有可能做到通用的效果,可以避开不同安卓手机差异化的问题。其影响的安卓版本包括但不限于Android 9/10/11,该利用链一旦被攻击者掌握并加以利用便可在短时间内攻破大量的安卓手机,具备实现大规模远程通杀ROOT的潜力。
值得注意的是,“飓风山竹”除了获得BlackHat USA的认可,该项研究成果也因其广泛的影响力在谷歌2020年官方漏洞奖励计划年报中得到了公开致谢,并在前不久又斩获“安全界奥斯卡”Pwnie Awards的“史诗级成就”和“最佳提权漏洞”两大奖项的提名。
利用和防护本身就像矛和盾。Pixel系列的机型有着目前最新的安全防护和补丁,谷歌也通过多次提高其漏洞奖励额度来证明安卓系统的安全性,因此在目前的安卓内核防御水平下,想要成功提权意味着激烈的攻防对抗,这也使得每条被证明的利用链都像一件饱经雕琢的艺术品。本次BlackHat USA 2021的主题演讲中,360 Alpha Lab详细地介绍了这条利用链的利用技巧和防护绕过技术,以期能够促进攻防技术的共同进步。
从2015年开始,BlackHat大会就不乏中国安全团队的身影。本届BlackHat大会,360安全团队继续交出极具研究价值的高质量漏洞,为网络安全做出巨大贡献。作为数字经济的守护者,360政企安全集团将会加强从政策、标准、检测、修复、应急响应等方面积极推进,与合作厂商同步,判断漏洞风险,并联合制定防御方案,共同守护网络空间安全。