新的翻转表攻击手法绕过了所有版本的Windows内核保护措施

安全研究人员近日发现了一种新的攻击手法，这种新手法可以绕过Windows操作系统中的内核保护措施。

来自安全公司enSilo的两名安全研究人员奥姆里?米斯加夫（Omri Misgav）和尤迪?亚沃（Udi Yavo）发现，该手法名为“翻转表”（Turning Tables），钻了Windows页表的空子。

页表是对所有操作系统（不仅仅是Windows）来说都很常见的一种数据结构，用于存储虚拟内存和物理内存之间的映射。虚拟地址由操作系统进程执行的程序使用，而物理地址由硬件部件使用、更确切地说由内存子系统使用。

由于物理内存（RAM）很有限，操作系统会创建所谓的“共享代码页”，其中多个进程可以存储相同的代码，并在需要时调用。

米斯加夫和亚沃表示，翻转表手法有赖于编写恶意代码，以恶意方式改变这些“共享代码页”，从而影响其他进程的执行，其中一些进程拥有更高的许可权。

这样一来，翻转表手法让攻击者得以将其代码的许可权提升到更高的级别，比如SYSTEM。

enSilo的这两位研究人员表示，该手法还可用于改变沙箱中运行的应用程序，而沙箱是一种隔离的环境，完全是为了保护应用程序免受此类攻击而建立的。比如说，翻转表可用于毒害在沙箱里面运行的浏览器，比如Chrome。

翻转表还影响macOS和Linux

此外，由于页表的概念也被苹果和Linux项目所使用，从理论上来说，macOS和Linux也很容易受到这种手法的攻击，尽管这两位研究人员迄今还没有证实此类攻击。

enSilo的这个研究团队称：“原因在于，这种手法基于几乎所有现代操作系统都采用的一种优化。”

不过研究人员表示，这种手法最引人注目的地方是，它绕过了近些年来微软添加到Windows操作系统的所有内核级安全保护措施。

Windows内核保护

enSilo的两位研究人员表示，他们已向微软告知翻转表攻击手法。但在本文发表之前，微软发言人还没有发表评论。

米斯加夫和亚沃在本月初举行的BSides拉斯维加斯安全大会上介绍了研究成果。以下为大会上播放的幻灯片：