新win10安全機(jī)制獨(dú)家揭秘 360XP盾甲中已使用

2015-01-27 10:22:08 大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

2015年1月22日，微軟公布了其新一代操作系統(tǒng)Win10（以下簡(jiǎn)稱Win10）的新技術(shù)預(yù)覽版，并在隨后的北京時(shí)間1月24日向公眾開放了該預(yù)覽版本的下載，360首席工程師鄭文彬（MJ0011）率先對(duì)Win10新技術(shù)預(yù)覽版的安全改進(jìn)

鄭文彬認(rèn)為，Win10此次最引人注目的安全增強(qiáng)是對(duì)于字體的安全防護(hù)的兩項(xiàng)增強(qiáng)，它引入了非系統(tǒng)字體禁用和隔離用戶模式字體渲染引擎這兩大安全改進(jìn)：前者可以用于對(duì)安全要求較高的人環(huán)境，有可能徹底防御未知的字體遠(yuǎn)程內(nèi)核漏洞。值得一提的1年前360設(shè)計(jì)XP盾甲防護(hù)措施時(shí)就使用了類似的方案；隔離的用戶模式字體渲染引擎則把字體遠(yuǎn)程漏洞的能力和風(fēng)險(xiǎn)大大降低。

Windows內(nèi)核字體引擎漏洞曾被“震網(wǎng)二代”病毒利用

由于諸多歷史原因，Windows的內(nèi)核模式字體引擎長期以來是Windows操作系統(tǒng)內(nèi)核中典型的復(fù)雜程度高而代碼安全質(zhì)量并不高的組件。出于字體引擎性能的考慮，微軟也不得不將其一直放在內(nèi)核模式。因此，一旦Windows內(nèi)核中的字體引擎出現(xiàn)安全漏洞，漏洞攻擊代碼就可以在用戶瀏覽網(wǎng)頁或文檔中的遠(yuǎn)程字體文件時(shí)，直接在Windows內(nèi)核中執(zhí)行，可以完全繞過幾乎所有的安全防護(hù)機(jī)制，殺傷力相當(dāng)大。

歷史上微軟修復(fù)的內(nèi)核字體漏洞并不少，但最出名的，也是打破了字體漏洞神秘感的，可能就要數(shù)2011年被安全廠商披露的感染伊朗等國家的震網(wǎng)二代”Duqu”病毒。

這應(yīng)該是首次被公開披露的字體漏洞用于真實(shí)的APT攻擊的案例。其后，該漏洞還被一些Exploit Kit改造為通過網(wǎng)頁瀏覽器進(jìn)行攻擊的版本，開始大范圍的傳播和攻擊。

在2014年的10月，國外安全公司Fireeye也披露了他們新發(fā)現(xiàn)的被用于真實(shí)的APT攻擊的字體漏洞：（CVE-2014-4148）。這個(gè)漏洞攻擊巧妙地利用字體引擎中一處整數(shù)符號(hào)問題，實(shí)現(xiàn)在瀏覽嵌入了字體的文檔或網(wǎng)頁時(shí)，直接從內(nèi)核模式執(zhí)行惡意代碼，繞過系統(tǒng)中的安全防護(hù)機(jī)制，安裝惡意程序。

無論是白帽子安全研究人員還是可能具備國家級(jí)背景的高級(jí)黑客，針對(duì)Windows字體引擎安全問題的深入挖掘，都將這一攻擊面的危險(xiǎn)狀況更多地暴露出來。微軟在修復(fù)漏洞的同時(shí)，也在計(jì)劃著一些更通用的解決辦法。

XP盾甲早已采用“非系統(tǒng)字體禁用”策略

Win10的新技術(shù)預(yù)覽版針對(duì)字體引擎的一項(xiàng)重大安全改進(jìn)，是引入了非系統(tǒng)字體禁用策略，根據(jù)不同的場(chǎng)景設(shè)置有拒絕非系統(tǒng)字體的加載的開關(guān)。從微軟公開的Win10技術(shù)預(yù)覽版來看，這項(xiàng)防護(hù)開關(guān)并沒有對(duì)一些關(guān)鍵應(yīng)用如Internet Explorer、內(nèi)置的PDF瀏覽器等默認(rèn)開啟。

從目前的功能設(shè)計(jì)看來，該功能更像是為特定的企業(yè)用戶提供的防止高級(jí)攻擊的安全措施。尤其是針對(duì)字體加載的審計(jì)功能，可以幫助IT管理人員快速定位可能的高級(jí)威脅攻擊。

值得一提的是，在360的XP盾甲的2.0中，我們就引入了同Win10本次更新加入的字體禁止策略類似的機(jī)制。通過XP盾甲的隔離引擎機(jī)制，我們將系統(tǒng)中的字體同沙箱隔離環(huán)境中的字體隔離開來，使得沙箱隔離環(huán)境中的字體無法加載到內(nèi)核中，而隔離環(huán)境之外的字體在隔離環(huán)境內(nèi)則不受影響，達(dá)到了和Win10這項(xiàng)防護(hù)類似的漏洞防御效果。

在XP盾甲4.0的產(chǎn)品中，360則引入了更強(qiáng)的內(nèi)核字體引擎鎖定機(jī)制，針對(duì)內(nèi)核字體引擎的攻擊防護(hù)強(qiáng)度又上了一個(gè)臺(tái)階。360一年前設(shè)計(jì)的XP盾甲防護(hù)機(jī)制同微軟公布的新一代操作系統(tǒng)中的新防護(hù)措施的不謀而合，也從側(cè)面印證了360在漏洞防護(hù)研究方面的探索。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊

機(jī)制