为什么要研究IE漏洞

Posted 2020-08-20

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了为什么要研究IE漏洞相关的知识，希望对你有一定的参考价值。

目前就漏洞利用对抗这一层面来说，android、ios、基于Linux的移动平台是大家关注的热门方向，与这些热点比起来Windows上的一些“老家伙”诸如IE（包括Edge，以下皆是）可能就不怎么受到关注了，但是我个人作为一个二进制的入门小白还是觉得围绕着IE的攻防对抗有很多值得学习的东西。其实主要是因为自己想了一下，为啥Windows的这些洞前辈们都搞了这么多年了，还去费心思去研究它？这里列出了想到的几点：

1.IE一直处于攻防对抗的最前沿：IE系列一直是采用了微软最新最强的漏洞缓解技术，比如2014年IE下面大量的UAF漏洞被曝出后，微软同年推出隔离堆和延迟释放对利用进行围堵，之后又很快的演化到Edge中的MemGC对堆进行单独管理并启用独立的分配释放函数。又比如EMET对各种利用手段进行逐一封堵，被绕过后又很快推出新版本进行修复（底下付了一张EMET演化表，其中EMET多次爆出绕过技术），其中对函数头的Hook过滤、调用者检查我觉得都比较有启发性以后很有可能会被使用在其它平台上。
2.IE下攻防对抗发展很快：拿堆喷射举例，从最早的Nozzle到禁止喷射BSTR到javascript9启用再到隔离堆扰乱内存布局再到启用64位进程，喷射的对象也从BSTR、Heaplib到DEPS到Element Array到Javascript Array再结合了各种Heap-fengshui进行布局，几乎每个版本的IE浏览器都会新增一些对抗机制，这一点在Linux中可能很难看到。
3.IE浏览器的对抗离我们很近：对比一下2010年的Pwn2Own和去年的Pwn2Own要求就可以看出这一点，2010是Windows 7下的IE8+DEP+ASLR，去年的Pwn2Own是Windows8.1下的IE11+增强沙箱+64位进程+EMET+全保护。5年时间里就叠加出这么多的缓解措施，相比一下平台下还可以使用十多年前的jmp esp或是简单的ROP（正好我前几天翻译过一篇某平台路由器漏洞的文章，其中提到了尚不支持DEP保护），IE的对抗离我们的时代很近（我觉得2010年才算IE对抗的开始）。
4.缓解措施的攻防对抗更通用：个人感觉CTF中的Pwn更多是针对代码本身的考量，比如Pwn里的堆漏洞其实就是针对ptmalloc的代码进行利用，这种利用更多的是“特洞特办”，但是漏洞缓解机制却具有很强的通用性，一个平台的缓解机制如果很有效那么完全可以移植到另一个平台上。

EMET 1.x, 2009年10月27日发布

SEHOP：防止结构化异常处理SEH被覆盖和篡改。

DEP：强制的DEP，因此栈和堆等数据段不再有执行权限。

空页面保护：预分配空页面,防止攻击者对空页面进行利用。

堆喷射保护：防止进行堆喷射（其实是把常用的堆喷射内存区域预先分配了。）

EMET 2.x，2010年9月2日发布

强制ASLR：强制执行ASLR，即使是不支持ASLR的老旧dll模块也会被强制启用ASLR。

导出表访问过滤：有的shellcode会遍历模块的导出函数，以解析如kernel32.dll, ntdll.dll和kernelbase.dll等模块导出的重要函数。EMET使用硬件断点来阻止访问这些模块导出表的任何线程，并且EMET会验证它们是否合法。

EMET 3.x，2012年5月25日发布

ROPGuard：使用ROPGuard来阻止ROP。

加载库检查：阻止通过通用命名约定（UNC）路径加载DLL文件。（ROP中会使用这种技术）

ROP缓解措施 - 内存保护检查：保护关键Windows API（如VirtualProtect），这些API可能被用于将堆栈标记为可执行。