信息化觀察網(wǎng)

注：視頻中所涉及的相關(guān)漏洞已被官方修復(fù)，本文僅限演示內(nèi)存保護(hù)技術(shù)檢測UAF漏洞功能使用。

關(guān)于UAF漏洞的原理，在網(wǎng)上可以找到很多分析文章，從字面含義Use After Free釋放重引用來解釋，其成因可以描述為一塊內(nèi)存被釋放了之后又被使用，又被使用會(huì)引發(fā)各種奇怪的現(xiàn)象，這個(gè)結(jié)果是不可預(yù)測的，因?yàn)椴恢罆?huì)發(fā)生什么，攻擊者可以精心構(gòu)造惡意代碼并利用漏洞來改變程序流程，達(dá)到劫持程序執(zhí)行流程的目的。

2010年的Operation Aurora（極光行動(dòng)）攻擊就是一個(gè)典型的利用UFA漏洞實(shí)施APT攻擊的例子，攻擊者通過訪問已刪除對象相關(guān)聯(lián)的指針來執(zhí)行任意代碼。攻擊者以Google和其它大約20家公司為目標(biāo)。它是由一個(gè)有組織的網(wǎng)絡(luò)犯罪團(tuán)體精心策劃的，目的是長時(shí)間地滲入這些企業(yè)的網(wǎng)絡(luò)并竊取數(shù)據(jù)。漏洞影響的IE瀏覽器Microsoft Internet Explorer 6、 6 SP1、7以及8等，在操作系統(tǒng)Windows 2000 SP4；Windows XP SP2 and SP3；Windows Server 2003 SP2；Windows Vista Gold、SP1以及 SP2； Windows Server 2008 Gold、SP2以及 R2； Windows 7等存在UAF漏洞，并最終拿下具有高級權(quán)限的敏感主機(jī)。

UAF漏洞屬于二進(jìn)制漏洞的一個(gè)類型，計(jì)算機(jī)程序存在安全缺陷導(dǎo)致攻擊者惡意構(gòu)造的數(shù)據(jù)（如shellcode）進(jìn)入程序處理代碼時(shí)改變程序原定的執(zhí)行流程，從而實(shí)現(xiàn)破壞或獲取超出原有權(quán)限。

而安芯神甲智能內(nèi)存保護(hù)系統(tǒng)所采取的基于實(shí)時(shí)的程序行為監(jiān)控、內(nèi)存操作監(jiān)控等技術(shù)，幫助企業(yè)防御并終止利用漏洞來執(zhí)行shellcode的攻擊。計(jì)算機(jī)體系結(jié)構(gòu)決定了任何數(shù)據(jù)都需要經(jīng)過CPU進(jìn)行運(yùn)算，其數(shù)據(jù)都需要經(jīng)過內(nèi)存進(jìn)行存儲(chǔ)，理論上基于CPU指令集和內(nèi)存這一層面實(shí)現(xiàn)的安全方案可以有效防御所有威脅。

安芯網(wǎng)盾內(nèi)存保護(hù)技術(shù)檢測UAF漏洞利用演示示例

檢測UAF漏洞演示示例展示了安芯網(wǎng)盾的內(nèi)存保護(hù)技術(shù)，據(jù)安芯網(wǎng)盾團(tuán)隊(duì)介紹，這只是內(nèi)存保護(hù)技術(shù)所體現(xiàn)出來的基礎(chǔ)能力，而實(shí)時(shí)防御未知漏洞才是該技術(shù)的核心能力，它能保障用戶核心業(yè)務(wù)應(yīng)用程序只按照預(yù)期的方式運(yùn)行，切實(shí)有效的保護(hù)客戶核心業(yè)務(wù)不被阻斷，核心數(shù)據(jù)資產(chǎn)不被竊取。