Эксперты Google рассказали, как нарушить работу браузера Microsoft Edge

В феврале этого года Google Project Zero опубликовал сообщение о наличии бага в Microsoft Edge. Корпорация Microsoft не смогла устранить эту брешь, что побудило эксперта Google Ивана Фратрика опубликовать технические подробности этой уязвимости. Специалист сообщает, что проблема кроется во взаимодействии JavaScript-движка Chakra, используемого Edge, с защитным механизмом Arbitrary Code Guard (ACG). ACG предназначен для предотвращения динамического модифицирования кода. «Когда ACG получает доступ к процессу Microsoft Edge, выделение новой памяти внутри процесса, а также изменение текущей памяти, становится невозможным. Это своего рода защитная функция, направленная на предотвращение выполнения произвольного кода злоумышленником, который уже получил некоторые привилегии», — объяснил эксперт. В опубликованном специалистом документе более подробно описывается схема атаки, она завязана на том, как JIT-компиляция работает с ACG. Таким образом, если JavaScript-движок Chakra встречает функцию, которая требует JIT-компиляции, он передает байт-код на JIT-сервер, который «компилирует его и записывает полученный исполняемый код обратно в процесс, используя общую память». Другой метод атаки использует Guard Flow Guard (CFG), предназначенный для защиты от уязвимостей повреждения памяти. Здесь, как отмечает эксперт, вектор заключается в том, чтобы перезаписать обратный адрес, так как он незащищен, это поможет обойти систему защиты. Эксперт описывает следующий алгоритм действий: Атакующий получает адрес распределения JIT и прогнозирует следующий адрес; Злоумышленник анмапит соответствующий раздел JIT — UnmapViewOfFile(); Затем вызывает VirtualAlloc()для восстановления памяти, но на этот раз с разрешениями PAGE_READWRITE; Атакующий записывает свою полезную нагрузку во вновь распределенную локацию; Атакующий ждет, пока сервер JIT области памяти исполняемой; Теперь злоумышленник может просто передать поток управления в код, записанный на 4-ом шаге. Устранение этой бреши не требует каких-то специфических решений, достаточно просто удалить вызов VirtualAllocEx(). Специалист опубликовал proof-of-concept код здесь.