分你所享、信息共享、轻松分享
来自民间的思想 | 送人玫瑰,手有余香。

一文读懂CPU漏洞“裂谷”TotalMeltdown

一、事件时间线

2018.1.3 国外安全研究员公开熔断(Meltdown)和幽灵(Spectre)CPU漏洞 2018.1.3 微软发布CPU漏洞的安全更新补丁KB4056897 2018.1.5 腾讯安全迅速响应,安全研究员对漏洞进行深入研究 2018.1.6 电脑管家发布CPU漏洞检测修复工具 2018.2.13 微软发布包含修复CPU漏洞功能的2月安全补丁KB4074587 2018.3.13 微软发布包含修复CPU漏洞功能的3月安全补丁KB4088878 2018.3.27 国外安全研究员公开裂谷(TotalMeltdown)漏洞细节 2018.3.28 电脑管家对裂谷漏洞迅速响应,安全研究员对漏洞进行深入研究 2018.3.30 电脑管家发布裂谷漏洞的检测修复工具
国外安全研究人员在微软2018年1月和2月的Windows7 x64和Windows Server 2008 R2安全更新中发现了一个致命错误,微软开发人员错误将只限内核访问的PML4(Page Map Level 4)页表设置为用户态可访问,导致任意进程可以对内核进行任意读写。我们称之为“裂谷”漏洞(国外研究人员或称为TotalMeltdown)。攻击者利用这个漏洞可以完全控制受害者的机器。

二、漏洞分析

1、漏洞原理

Intel X64使用的是四级分页模式:PML4(Page Map Level 4), PDPT(Page Directory Pointer),PD(Page Directory),PT(Page Table Entry)。如下图所示: 一文读懂CPU漏洞“裂谷”TotalMeltdown Intel X64下的4级分页模式 Windows会在PML4表中存放一个指向PML4自身的入口,也就是将PML4表所在的物理地址映射到一个虚拟地址上。在Windows7 x64和Windows Server 2008 R2中,Windows用PML4表中0x1ED这个固定位置存放指向自己的入口,对应的虚拟地址也就是= 0xFFFF0000`00000000 + (0x1ed<<0n12) + (0x1ed<<0n21) + (0x1ed<<0n30)+ (0x1ed<<0n39) = 0xFFFFF6FB`7DBED000。如下所示: 一文读懂CPU漏洞“裂谷”TotalMeltdown 我们在windbg中可以验证,在所有进程的虚拟地址空间中0xFFFFF6FB`7DBED000都映射到PML4基地址,也即是存放在CR3( page directory base register)的内容。 一文读懂CPU漏洞“裂谷”TotalMeltdown

2、漏洞利用分析

微软将映射到自身的0xFFFFF6FB`7DBED000地址对应的内存的权限错误设置为用户态可读,导致整个PML4所管理的内存均可被用户态可读写,包括整个内核空间的所有地址。 在存在裂谷漏洞的环境中用户态程序读取到PML4的值: 一文读懂CPU漏洞“裂谷”TotalMeltdown 该值的具体意义如下,该值中最后一字节’7′表示位0,1,2位被置1,这意味着此PML4的权限为用户态可读可写。