ブログ

FFRI BLOG

2012-08-10 Black Hat 技術報告 中編


技術戦略室の大居です。


前編に引き続き、Black Hat で注目したトレンドについて解説します。


弊社は標的型攻撃の阻止、特に脆弱性攻撃の検出に力を入れていますし、また私は個人的にも脆弱性攻撃のトレンド (特に攻撃への応用とそれへの対策) には興味を持っています。
そして関連するセッション [1][2][3] を聞くうちに見えてきたのは、脆弱性攻撃の安定化、"武器"化のトレンドでした。


複数の発表で出てきた重要キーワードは 2 つあります。

(1) Information Leak / Information Disclosure
(2) Type Confusion


これらを解説する前に、背景について説明しなければなりません。
最近のオペレーティングシステムは脆弱性攻撃を弱体化 (exploit mitigation) するために様々な機能を搭載しています。DEP や ASLR といった機能がそれに該当します。


特にプロセス内のメモリ配置を実行毎に、あるいは OS の起動毎にランダムに変更する ASLR は、脆弱性攻撃を行う攻撃者にとっては特に難しいものだといえます。
このようなとき、今まで盛んだったのは ASLR の隙を突くことです。


例えば、ランダム化されていないライブラリを悪用するといった攻撃がこれに該当します。
しかし、これはあくまで隙でしかありません。ASLR がその効果を十分に発揮して、攻撃者が前提にできる既知のメモリアドレスがなくなったとき、隙を突くことが前提の攻撃手法はほとんど役立たずになるのです。


しかし、これはメモリの誤った使用に基づく脆弱性攻撃が行えなくなるという意味ではありません。
攻撃者はこのような小手先の機能では防御できない部分を悪用することが可能なのです。
そのような攻撃に悪用できる脆弱性を示すキーワード、それが、Information Leak と Type Confusion なのです。


Information Leak (情報漏えい) とは、本来外部からはアクセスできてはならない情報にアクセスできてしまう脆弱性や攻撃全般を指しますが、ここでは特に、外部からは読み取れてはならないポインタ変数にアクセスできてしまう脆弱性のことを意味します。


ポインタ変数というのは二重の意味で重要です。もしこれがある DLL 内の特定の変数を指し示すポインタなら、そのアドレスから逆算して DLL のアドレス、さらに DLL 内の悪用可能なコードアドレスを導き出すことができてしまいます。


もしそうでなかった場合にも、他の攻撃可能な構造体を見つける手がかりにはなってしまいます。
もうひとつのキーワード、Type Confusion (型の取り違え) は、同じメモリ領域を2 つの異なる型でアクセスしてしまうために発生する脆弱性です。


これは先程解説した Information Leak に利用できる場合もありますし、より深刻な攻撃に転化することもできます。
すべては、アプリケーションの細かい実装に強く依存します。


このような部分を悪用する攻撃は現状比較的少ないものの、カナダで開催されたセキュリティコンテスト Pwn2Own 2010 で Internet Explorer を攻撃するために Information Leak とその応用が使われた例 [1][4] があるほか、最近では Mac において猛威を振るった Flashback マルウェアがサンドボックスを突破してローカルコンピュータを感染させるためにJava の Type Confusion 脆弱性を使用した例 [3] があります。


よって、私はこのような攻撃手法について今後十分に注意を払う必要があると考えています。



[1] Black Hat USA 2012 - https://media.blackhat.com/bh-us-12/Briefings/Serna/BH_US_12_Serna_Leak_Era_Slides.pdf

[2] Black Hat USA 2012 - https://media.blackhat.com/bh-us-12/Briefings/M_Miller/BH_US_12_Miller_Exploit_Mitigation_Slides.pdf

[3] Black Hat USA 2012 - https://media.blackhat.com/bh-us-12/Briefings/Oh/BH_US_12_Oh_Recent_Java_Exploitation_Trends_and_Malware_Slides.pdf

[4] "ハッキングコンテストで使われたWindows 7版IE8のセキュリティ機構回避手法、公開される" http://security.slashdot.jp/story/11/01/17/0641213/



関連記事

Black Hat 技術報告 前編
Black Hat 技術報告 後編