利用Chakra JIT绕过DEP和CFG

JIT Spray是一种诞生于2010年的漏洞利用技术,可将Shellcode嵌入到JIT引擎生成的可执行代码中。目前,包括Chakra在内的各JIT引擎几乎都针对该技术采取了防御措施,包括随机插入空指令、立即数加密等。本文将指出Chakra的JIT Spray防御措施的两个问题(分别存在于Windows 8.1及其之前的系统,以及Windows 10之中),使得攻击者可在IE中用JIT Spray技术执行Shellcode,从而绕过DEP。同时,本文还给出了一种利用Chakra的JIT引擎绕过CFG的方法。

继续阅读“利用Chakra JIT绕过DEP和CFG”

在补丁上戳个洞——利用已经被修复的漏洞实现IE沙箱逃逸

James Forshaw在2014年11月曾向微软报告过一个Windows Audio Service的本地权限提升漏洞。我们通过分析发现,微软提供的补丁并没有完全解决问题。通过一些技巧的组合,我们可以绕过补丁,继续利用该漏洞。
继续阅读“在补丁上戳个洞——利用已经被修复的漏洞实现IE沙箱逃逸”

JIT引擎触发RowHammer可行性研究

RowHammer漏洞是DDR3内存中存在的问题,通过频繁的访问内存中的一行数据,会导致临近行的数据发生反转。然而由于其运行需要在目标主机上大量运行特定的代码,实施攻击存在很大的难度。本文旨在研究能否通过Javascript等脚本语言的动态执行触发RowHammer,如果能够成功将极大增加RowHammer的攻击性。为了验证该思路,本文分析了Java Hotspot、Chrome V8、.NET CoreCLR以及Firefox SpiderMonkey的实现机制并给出了可行性分析。
继续阅读“JIT引擎触发RowHammer可行性研究”