XNU的内核内存分配器层次比较多, 因为它是一个混合的内核,bsd、mach层都有自己的内存分配器接口, 但最底层的都是调用zone allocotr分配器。它的内存分配器设计非常简单,大概是我读过的众多主流os内核中无论数据结构还是分配算法都是最简单的一个。我时常在想XNU内核给MacOS提供了流畅的操作性,但是只从zone的内存分配器来看并不能支撑这个结论,或许慢慢随着笔者对XNU内核的深入理解,答案也会慢慢水落石出。不过本次我们将探讨下zone内存分配器的安全特性以及设计不足,值得肯定的是zone内存分配器在调试和安全特性上的支持已经远远甩出了FREEBSD内核,于linux的slab内存分配器也有过之而无不及, 各有春秋。
Zone分配器的最基本管理结构为struct zone_page_metadata, 它相当于linux slab的slab管理结构体。
struct zone_page_metadata {
结构成员中最重要的是freelist_offset, 它保存的是下一个空闲的item地址。 一个item在内存中的结构图为:
----------------------------------------------------------------------------------
|redzone|redzone|...| next pointer| posion| posion|...| backup pointer|redzone|redzone|
----------------------------------------------------------------------------------
业界常用的检测堆溢出的算法为在一个item前后填充若干redzone值,申请或释放内存时对redzone值进行检测,以发现是否有溢出行为的发生。XNU内核只有在打开KASAN_ZALLOC内核选项时才会填充redzone。
osfmk/kern/zalloc.c:
Zone依据内存分配器的不同阶段,调用kasan_poison时构造的item前后redzone填充值也不相同。
san/kasan.h
Redzone的填充值与其他OS的实现一样都使用了默认值, exploit程序很容易对其绕过,在笔者给linux slab开发的内核加固补丁AKSP中,堆redzone使用了随机值,进一步提升了安全性。
Zone内存分配器可以做简单的double free检测。
osfmk/kern/zalloc.c:
[1] 处通过参数element获取struct zone_page_metadata管理体地址,然后获取其保存的下一个空闲item地址old_head, 在[3]进行比对, 如果相等说明有重复释放的行为。
这种算法只能检测简单的double free操作,也就是连续释放两次相同的item地址。
Free(addr1);
Free(addr1);
对于下面这种情况就检测不到了。
Free(addr1);
Free(addr2);
Free(addr1);
在笔者给linux slab开发的内核加固补丁AKSP中,可以检测上述或者更复杂的多重释放问题。
业界常用的UFA检测算法是给item填充固定的poison值,在申请内存时检测posion是否改变以此来发现UAF的行为。
osfmk/kern/zalloc.c
[1] 处首先取得poison的首地址,注意item的第一个地址为加密后的next pointer值,它是与zp_nopoison_cookie异或计算的结果,所以要跳过第一个地址, [2]处取得posion的最后一个地址,在前面的item内存结构视图中可以看到item的最后一个地址保存的是next_pointer的值,它是与zp_poisoned_cookie或者zp_nopoison_cookie异或计算的结果。
zp_poisoned_cookie与zp_nopoison_cookie是在zone子系统初始化时动态随机生成的,所有的zone共用同一个值。[3]处与默认填充的poison值进行比对, 如果比对失败,说明这个item在分配之前已经被改写过了。
前面分析过item的第一个地址保存的是next pointer的一个混淆值, 在item的最后还保存了一个next pointer的混淆值副本。所以除了填充poison的方法, zone内存分配器还可以使用next pointer和其副本的对比,来发现UAF的行为。
static inline vm_offset_t
由于next pointer的副本根据是否需要填充poison使用不同的xor值,所以分别进行了两次比对。
在进行完UAF检查后,zalloc_poison_element还会堆next pointer进行擦除,以后防止地址泄露,并且从泄露的地址推测zp_nopoison_cookie随机值。
void
内核堆的攻击技术链中,item的地址初始化顺序十分重要, exploit以此来精确控制要覆盖的item地址, linux slab使用了洗牌算法将slab里item的初始化顺序完全打乱。但是XNU内核使用的item随机化只有两种情况, 正向顺序或逆向顺序,这只能在一定程度上缓解地址随机化问题,相比linux的洗牌算法会变弱了很多。
random_free_to_zone(
random_bool_gen_bits产生一些随机的0或1,从而选择是正向顺序分配还是逆向顺序分配item地址。
Zone内存分配器提供了一个启动参数-no-copyio-zalloc-check, 当发生从用户空间向内核空间拷贝数据时,会检测内核空间是否属于zone的空间,如果属于那么拷贝的字节数就不能大于zone的item size,这是一个非常棒的安全检测功能。有点类似linux slab的hardened user copy算法, 只不过它防止的是从内核向用户空间拷贝敏感的数据,限制了拷贝的范围。
尽管针对内核堆溢出的攻击中, 很少见到改写双向链表节点的攻击手段。但是为了防患于未然,或者说养成良好的安全编程习惯, NT和linux内核都使用了安全双向链表检查,而XNU未提供此能力。