欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

第一只WiFi蠕虫的诞生:完整解析博通WiFi芯片Broadpwn漏洞(含EXP/POC)

来源:本站整理 作者:佚名 时间:2017-08-04 TAG: 我要投稿

过去的几个月里,Android 和 iOS 数十亿台设备中都曾出现过可怕的 WiFi 远程代码执行漏洞 BroadPwn。谷歌 7 月初发布了修复补丁,而苹果则是在 7 月 19 日发布的更新。而此次开得热火朝天的 Black Hat 2017上安全研究员 Nitay Artenstein 也针对这个漏洞进行了详细剖析。
Broadpwn 漏洞甚至还能进化成 WiFi 蠕虫,如果你的移动设备没有及时更新,只需置身在恶意WiFi范围内就会被黑客捕获、入侵、甚至被转化成恶意AP、继续感染附近的手机终端…
目前漏洞虽然已经得到修复——但这个漏洞的研究过程也许能给安全研究和防护带来深层次的思考。所以,本文按照黑帽大会上进行的分享及分享者的博客内容进行了整理,希望能给大家带来帮助!
不需要用户交互、完全远程利用的漏洞,已经消失匿迹了一段时间了。这种漏洞在一些不够安全、或者说未能及时更新的设备上找到,(如路由器、IoT设备或者旧版 Windows 上),但在 Android 及 iOS 上,实际并没有可以远程利用并绕过 DEP 及 ASLR 保护机制的漏洞。如果想要侵入 Android 或 iOS设备,攻击者一般还是通过浏览器漏洞进行。从这个角度切入的话,我们可以从攻击者的视角进行思考,也就是说,有效的漏洞利用需要用户主动点击可疑链接、连接到攻击者的网络、或者浏览不受 HTTPS 保护的站点。然而,警觉性高的用户就不会上当。
随着现代的操作系统不断加强安全防护,攻击者很难找到全新而有力的攻击向量。当然,远程漏洞利用绝非易事。常见的本地漏洞利用都会利用各种特定系统上的接口(如本地的系统调用或者Javascript ),通过各种交互操作触发,这样攻击者可以获取涉及目标的地址空间以及内存状态的信息。而远程攻击者,在与目标的交互手段上会有很大的限制。为了成功实施一次远程攻击,攻击者所使用的漏洞需要在各种情况下都具有普适性。
本研究的目标在于揭示这种类型的攻击以及漏洞利用—— Broadpwn 是一种完全远程的攻击,它通过博通 BCM43xx 系列 WiFi 芯片组的漏洞在 Android 或 iOS 的主应用程序处理器上进行代码注入。本文的叙述将会如下流程展开:首先是按照思考流程解释我们如何选择适合远程利用的攻击面,接着解释为了避免需要用户交互的触发,我们如何在特定程序块中进行调查、最后是如何形成一个可用且完全远程的漏洞利用。

文末还会有个 [ 彩蛋 ] :在二十世纪初期,自传播的蠕虫恶意程序很常见。但随着 DEP 和 ASLR 的出现,这种远程 exp 逐渐消失,2009 年的 Conficker 成为了历史记载中最后一个自传播的网络蠕虫。而利用当前的 Broadpwn 我们可以延续传统(:P),将其改造成第一个针对移动设备 WiFi 的蠕虫、同时也是近八年内的第一只公网蠕虫。
一、攻击面分析
DEP 和 ASLR 是攻击者最恐惧的两个词。一般为了利用漏洞进行代码注入,我们需要获取涉及地址空间的信息。但自从有了 ASLR 机制的存在,这些信息就很难获取,有些时候需要通过单独的信息泄露漏洞才能获得。以及,普遍意义上远程利用信息泄露漏洞,会比普通情况更难,因为目标与攻击者的交互十分有限。在过去的近十年来,有数百个漏洞因此凄惨“ 死去 ”。
当然,嵌入式系统中不会存在这样的问题,路由器、摄像头、各种IoT设备都不会有专门的安全防护机制。但谈及智能手机,情况就又不一样了:Android 和 iOS 都很早就应用 ASLR 机制了!但直接这样说其实还是有不准确的地方的,因为这些机制只是针对主应用处理器进行保护——然而智能手机本身是一个复杂系统!于是我们在进行研究的时候开始思考,手机上还有哪些不受 ASLR 保护的处理器呢?
实际上,大多数的 Android 和 iOS 智能手机都还有两个额外的处理芯片,这是考虑远程攻击的极好的突破口——基带芯片 和WiFi 芯片。

基带芯片涉及的领域很宽泛也很奇妙,毋庸置疑会吸引很多攻击者。但是,攻击基带也是相当有难度的事情,因为生产厂家各不相同,攻击不得不变得非常零碎。基带市场目前也面临着巨大的转折:多年之前,高通是一览众山小的领先者,但现在的市场已经被多个竞争者占领。三星的Shannon modem在新一代三星手机中得到普及;英特尔的 Infineon 芯片已经接替了高通,成为 iPhone 7 以上版本的基带;而联发科技的芯片已经成为低成本 Android 设备最受欢迎的选择。当然,高通仍然占据高端非三星 Android 中基带市场的主导地位。
WiFi 芯片组则有着另一段故事:但在最主要的智能手机中,包括三星 Galaxy 型号,Nexus 以及 iPhone 在内,博通对它们来说都是最主要的芯片厂商。在笔记本设备中,WiFi 芯片组管理 PHY 层,而 kernel driver 负责处理 第三层及以上——这被称为 SoftMAC 框架。然而在移动设备上,由于对电源的考虑导致设备设计人员选择应用 FullMAC WiFi 实现方式,这样 WiFi 芯片是自行负责处理 PHY,MAC 和 MLME ,并自行传输准备好的内核驱动程序数据包,这也就是说 WiFi 芯片是会自行处理可能被攻击者控制的数据输入。
在选择攻击面的考虑时,还有一个因素影响了我们的选择。在博通芯片上进行测试的时候,我们欣喜地发现,它不受 ASLR 保护,而整个 RAM 都有 RWX 许可——这意味着我们可以在内存中的任何地方进行读,写和运行代码的操作!但是在 Shannon 、联发科技、以及高通的基带中存在 DEP 机制的保护,所以相对而言,更难进行漏洞利用。

[1] [2] [3] [4] [5] [6] [7]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载