意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > 独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

时间：2021-10-28 作者：意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心

分享到：

配景

克日，，，，，，，意昂体育-科技赋能场景,让娱乐更有趣!威胁情报中心红雨滴团队团结红雨滴云沙箱产出的相关IOC情报，，，，，，，并配合内部蜜罐系统，，，，，，，在全球规模内首个监测到多例组合使用Chrome浏览器高危误差和Windows内核权限提升误差用于穿透Chrome浏览器沙盒实现远程代码执行的定向攻击，，，，，，，实现了基于威胁情报和流量剖析的在野Chrome浏览器误差攻击检测的突破。。。。。。。。

关于PuzzleMaker

通太过析研判，，，，，，，红雨滴团队捕获到的Chrome浏览器完整误差使用攻击链疑似今年6月8日由卡巴斯基披露的PuzzleMaker组织针对多家公司的高度针对性攻击运动中所使用的误差攻击链，，，，，，，PuzzleMaker在攻击中串联使用了Chrome和Windows10的0day误差，，，，，，，其中包括一个Chrome0day和两个Windows100day。。。。。。。。而其时的相关研究职员并未还原完整的攻击链，，，，，，，也暂未捕获带有完整误差使用的JavaScript代码。。。。。。。。故本次是首次捕获到在野的完整误差使用攻击。。。。。。。。

由于该误差已经用于真实的APT攻击，，，，，，，红雨滴团队第一时间复现并确认捕获到的样本可用，，，，，，，并对该误差使用的相关手艺细节举行了剖析，，，，，，，以便清静厂商可以增添响应的防护步伐。。。。。。。。

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

https://twitter.com/RedDrip7/status/1453291780078714880

穿透Chrome沙盒的误差使用演示视频

红雨滴团队复现的在野Chrome穿透沙盒误差使用视频如下：

误差使用剖析

该在野误差使用链通过Chrome误差CVE-2021-21224和Windows内核提权误差CVE-2021-31956举行组合攻击。。。。。。。。整个使用基于4月的泄露EXP，，，，，，，可是部分字段做了响应的混淆。。。。。。。。

在随后剖析该EXP使用代码的时间发明，，，，，，，使用中获取到恣意地点读写原子后，，，，，，，写入执行的ShellCode有两段，，，，，，，这里引起了意昂体育-科技赋能场景,让娱乐更有趣!注重，，，，，，，一样平常来说Chrome误差是无法自力执行的，，，，，，，需要一个提权的误差用于沙箱绕过。。。。。。。。

经由测试发明整个误差CVE-2021-21224部分能正常执行，，，，，，，如下所示第一段ShellCode写入到了WASM工具的可读可写可执行内存页面中。。。。。。。。

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

两段ShellCode中大宗的API挪用通过syscall的方法完成。。。。。。。。

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

通过调试发明，，，，，，，第一段写入的ShellCode现实上是CVE-2021-31956的使用代码，，，，，，，该0day误差于今年六月被卡巴斯基披露在PuzzleMaker团伙的攻击中被使用，，，，，，，巧合的是该误差在卡巴斯基的报告中基于时间推测是作为CVE-2021-21224这个Chrome0day误差举行攻击时的提权模�？？？？？？？�(由于在现实的攻击中并没有捕获到Chrome误差的攻击代码)，，，，，，，因此这里有理由嫌疑该次攻击可能和PuzzleMaker有关，，，，，，，别的只管4个月已往了，，，，，，，CVE-2021-31956这个误差自己的使用代码没有被果真。。。。。。。。

该误差爆发在内核模�？？？？？？？閚tfs.sys的函数NtfsQueryEaUserEaList中，，，，，，，任何在NTFS分区上有写入权限的文件句柄的历程都可以会见它，，，，，，，这里就包括了Chrome的渲染历程，，，，，，，因此该误差很是适用于突破沙箱，，，，，，，当NtfsQueryEaUserEaList处置惩罚文件的拓展属性列表，，，，，，，并将值返回到存储的缓存区时，，，，，，，保存一处整数下溢，，，，，，，从而导致之后的溢出。。。。。。。。

这里焦点的溢出逻辑在ea_block_size

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

out_buf_length/padding值按如下方法天生，，，，，，，padding的取值为0，，，，，，，1，，，，，，，2，，，，，，，3，，，，，，，因此这里攻击者通过适当的结构，，，，，，，当循环中天生out_buf_length为0时，，，，，，，out_buf_length–padding将泛起下溢。。。。。。。。

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

这里溢出写入的地点为误差函数父函数NtfsCommonQueryEa中分派的内核分页池中。。。。。。。。

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

误差使用了WNF模�？？？？？？？槔赐瓿身б獾氐愣列匆约霸浇缍列床僮�，，，，，，，首先NtUpdateWnfStateData/NtDeleteWnfStateData举行对应的内存结构。。。。。。。。

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

挪用函数NtQueryEaFile触发下溢。。。。。。。。

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

最终通过修刷新程token提升权限，，，，，，，这里详细的使用剖析不再赘述，，，，，，，nccgroup的文章“CVE-2021-31956exploitingthewindowskernelntfswithwnf”已经剖析得很清晰，，，，，，，感兴趣的读者可以从参考链接找到对应文章。。。。。。。。

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

如下所示，，，，，，，第一段包括CVE-2021-31956使用代码的ShellCode执行完毕后，，，，，，，对应exp页面的渲染历程已经是system权限，，，，，，，后续执行的第二段ShellCode将以system的权限在受害者机械上运行任何恶意代码。。。。。。。。

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

通过第一段ShellCode提权穿过沙箱后，，，，，，，执行第二段ShellCode，，，，，，，最终开启一个线程和cc的通讯。。。。。。。。

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

如下所示获取wininet相关的联网函数后实验会见后续的攻击代码。。。。。。。。

独家捕获！在野完整Chrome浏览器误差使用攻击链剖析

总结

现在包括天眼高级威胁检测产品在内的天擎终端清静治理系统、NGSOC、TIP威胁情报平台、智慧防火墙等全线意昂体育-科技赋能场景,让娱乐更有趣!攻击检测类产品都已经支持对此威胁的检测，，，，，，，用户可以升级相关的装备到最新的版本和规则库。。。。。。。。

参考链接

https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/

https://research.nccgroup.com/2021/07/15/cve-2021-31956-exploiting-the-windows-kernel-ntfs-with-wnf-part-1/

推荐产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】