「深蓝洞察」2023 年度最野的漏洞

随着37C3欧洲混沌通讯年会上，来自俄罗斯的卡巴斯基研究员对 Operation Triangulation（三角测量行动）漏洞利用链震惊世界的曝光，安全社区在 2023 年底迎来一轮大狂欢。

2023 可能是持续不断的数字安全战争的关键一年。

2018 年，苹果公司在 iPhone XS 机型上首次部署启用 PAC 硬件机制；

2023 年，Google公司在 Pixel 8 手机上开启了内存标记扩展 MTE。

在这些高级安全缓解措施的推动下，我们正见证一场深刻的安全攻防变革。

虽然这些防御机制有望带来巨大的安全收益，但它们同时提出了一个令人深思的问题：

除了主要的内存破坏攻击，还有什么攻击路径？

不久的将来，我们是否会看到更复杂和不可预测的攻击利用方法的兴起？

不仅硬件层，操作系统领域也正在经历一场新变革。

华为 HarmonyOS、小米 HyperOS 和 vivo BlueOS 等新玩家相继登上舞台。

新安全特性和隐私保护机制都成为这些系统的亮点。

然而一个关键的不确定性仍然存在：

这些新来者，会从过去操作系统的历史失误中吸取教训，还是会再度面临过去的挑战、陷入不断地与漏洞斗争的宿命呢？

复杂的供应链攻击的兴起又增加了一层复杂性。

最近影响不同平台软件的 libwebp 漏洞就是例证：

国际巨头快速协调同步漏洞威胁信息的背后，国内庞大的相关生态似乎被彻底遗忘。

笼罩在所有这些问题之上的，是勒索软件无所不在的阴影，它可以说是我们这个时代最重大的网络威胁。

甚至，披着正规或巨头的外衣依然实施非法攻击的现象，依然未完全消除。

我们该如何有效抵御这些日益复杂的攻击、保护身为最终用户的我们每一个人？

当我们站在下一个十年的悬崖边时，2023 年注定成为具有深刻转折点意义的一年。

新防御机制的部署和新攻击技术的涌现，将对数字安全格局产生持久影响。

**《深蓝洞察 | 2023 年度安全报告》，**尝试在这关键的十字路口，更深入地探讨不断变化的新威胁、新攻击技术及可能的防御解决方案。

以下为本期深蓝洞察年度安全报告的第一篇。

01

2023 年的 9 月 7 日，Apple 发布了紧急安全更新，修复一个类似"三角测量行动"的 0click 在野攻击利用所使用的漏洞。

四天后的 9 月 11 日，Google 紧随其后发布新版本 Chrome，修复了其中存在的同一个漏洞；

又过一天，Mozilla 为 Firefox 发布补丁，同样修复了同一个漏洞。

他们的修复都指向了相同的关键目标 —— libw****ebp。

究竟是什么样的漏洞，让三大厂商如此般重视？

DARKNAVY·深蓝第一时间对此漏洞展开分析，通过定位 Apple ImageIO 文件进行 bindiff，结合开源补丁，最终成功复现 PoC，并在多平台多软件上验证发现该漏洞均可被触发。

我们意识到，此漏洞的影响范围之广泛、触发方式之丰富，确属罕见。

彼时，不仅主流操作系统 iOS、Android、Linux、Windows下的常用软件如微信、钉钉等受影响，更有无数路由器、摄像头、智能家居等嵌入式设备由于都引用了 libwebp 库，也受此漏洞影响。

9月22日，国外 Isosceles 公开发布了该漏洞 PoC，而当时国内依然还并未对此漏洞引起足够的重视。

考虑到 PoC 可能带来广泛的攻击风险，深蓝即日发布了「 特别预警」这个新iMessage 0-Click 漏洞可能影响你，敦促下游厂商尽快重视修复此漏洞。

深蓝的提醒得到了很多企业团队的认可与致谢，同时也收到了意料之中的一些不同声音：

 XXX 1分钟前

_你摸着良心说，这个漏洞真的影响普通人吗？
_

Google的血馒头好吃吗？ 

基于多年对业界安全应急响应领域的了解，我们清楚，不同的意见大概率源于对漏洞研判理解和应急响应经验的不足：

在发布预警后，就有测试人员反馈网上公开的 PoC 并不能在软件实际运行环境中崩溃，仅能在带 AddressSanitizer 编译的测试程序中崩溃。

事实上，背后的技术原因是：

默认的霍夫曼表分配空间为 0x2e28，这个大小在 Chrome 与 Safari 的环境中，分配出的堆块大小为 0x3000，而漏洞造成的溢出长度在 0x190 左右，刚好不能造成实际的破坏。

要构造实际可用的样本，研究人员需要利用霍夫曼表的其他特性使得所需空间更接近 0x3000。

于是 11 月 3 日，我们选择发布「 深蓝洞察」满分10分的libwebp漏洞利用技术研判报告，尽可能详细并负责任地阐述，这个品相较差的漏洞是如何进行破坏利用的，以帮助更多安全团队更深入理解并修复。

经过深蓝的复测，绝大部分受影响的厂商随后均已修复此漏洞。

故事至此，似乎画上了一个圆满的句号。

12 月 16 日，Google 公开了此漏洞的 issue 页。

绵长的 issue 页详细展示了漏洞修复的过程，与以往在野漏洞不同的是，此次漏洞报告者并非大家熟悉的 Google TAG 成员，而是 Apple Product Security。

这一封机密邮件时隔多月终于公诸于世，在其中， Apple 向 Google 共享了漏洞详情及 PoC，协商如何披露此漏洞。

有二十年漏洞应急响应经验的深蓝，不禁产生疑问：

"为何 Apple 仅向 Google 共享如此重要的威胁情报？微软、华为等其他巨头呢？

libwebp、Chrome 生态下游更多的无数软件无需第一时间知情吗？

Apple 和 Google 在意自己用户的安全，却视其他无数同受影响产品的用户安全如敝履吗？"

一直以来我们面对的，都是在野漏洞被不断利用，各种网络攻击层出不穷的复杂环境。

如此真实背景下，不同国家、组织之间的信息孤岛现象依然尚未改观，这对于应对安全挑战极为不利。

如何建立负责任、高效的威胁情报共享机制，在当今在野漏洞攻击横行的年代，已成为一个必须解决的问题。

参  考：

[1] https://blog.isosceles.com/the-webp-0day/

[2] https://bugs.chromium.org/p/chromium/issues/detail?id=1479274

明日，请继续关注**《深蓝洞察 | 2023 年度安全报告》**第二篇。