新win10安全機制獨家揭秘 360XP盾甲中已使用

2015-01-27 10:22:08 大云網　點擊量：評論 (0)

2015年1月22日，微軟公布了其新一代操作系統Win10（以下簡稱Win10）的新技術預覽版，并在隨后的北京時間1月24日向公眾開放了該預覽版本的下載，360首席工程師鄭文彬（MJ0011）率先對Win10新技術預覽版的安全改進

2015年1月22日，微軟公布了其新一代操作系統Win10（以下簡稱Win10）的新技術預覽版，并在隨后的北京時間1月24日向公眾開放了該預覽版本的下載，360首席工程師鄭文彬（MJ0011）率先對Win10新技術預覽版的安全改進及其實現和策略進行了深入的分析。

鄭文彬認為，Win10此次最引人注目的安全增強是對于字體的安全防護的兩項增強，它引入了非系統字體禁用和隔離用戶模式字體渲染引擎這兩大安全改進：前者可以用于對安全要求較高的人環境，有可能徹底防御未知的字體遠程內核漏洞。值得一提的1年前360設計XP盾甲防護措施時就使用了類似的方案；隔離的用戶模式字體渲染引擎則把字體遠程漏洞的能力和風險大大降低。

Windows內核字體引擎漏洞曾被“震網二代”病毒利用

由于諸多歷史原因，Windows的內核模式字體引擎長期以來是Windows操作系統內核中典型的復雜程度高而代碼安全質量并不高的組件。出于字體引擎性能的考慮，微軟也不得不將其一直放在內核模式。因此，一旦Windows內核中的字體引擎出現安全漏洞，漏洞攻擊代碼就可以在用戶瀏覽網頁或文檔中的遠程字體文件時，直接在Windows內核中執行，可以完全繞過幾乎所有的安全防護機制，殺傷力相當大。

歷史上微軟修復的內核字體漏洞并不少，但最出名的，也是打破了字體漏洞神秘感的，可能就要數2011年被安全廠商披露的感染伊朗等國家的震網二代”Duqu”病毒。

這應該是首次被公開披露的字體漏洞用于真實的APT攻擊的案例。其后，該漏洞還被一些Exploit Kit改造為通過網頁瀏覽器進行攻擊的版本，開始大范圍的傳播和攻擊。

在2014年的10月，國外安全公司Fireeye也披露了他們新發現的被用于真實的APT攻擊的字體漏洞：（CVE-2014-4148）。這個漏洞攻擊巧妙地利用字體引擎中一處整數符號問題，實現在瀏覽嵌入了字體的文檔或網頁時，直接從內核模式執行惡意代碼，繞過系統中的安全防護機制，安裝惡意程序。

無論是白帽子安全研究人員還是可能具備國家級背景的高級黑客，針對Windows字體引擎安全問題的深入挖掘，都將這一攻擊面的危險狀況更多地暴露出來。微軟在修復漏洞的同時，也在計劃著一些更通用的解決辦法。

XP盾甲早已采用“非系統字體禁用”策略

Win10的新技術預覽版針對字體引擎的一項重大安全改進，是引入了非系統字體禁用策略，根據不同的場景設置有拒絕非系統字體的加載的開關。從微軟公開的Win10技術預覽版來看，這項防護開關并沒有對一些關鍵應用如Internet Explorer、內置的PDF瀏覽器等默認開啟。

從目前的功能設計看來，該功能更像是為特定的企業用戶提供的防止高級攻擊的安全措施。尤其是針對字體加載的審計功能，可以幫助IT管理人員快速定位可能的高級威脅攻擊。

值得一提的是，在360的XP盾甲的2.0中，我們就引入了同Win10本次更新加入的字體禁止策略類似的機制。通過XP盾甲的隔離引擎機制，我們將系統中的字體同沙箱隔離環境中的字體隔離開來，使得沙箱隔離環境中的字體無法加載到內核中，而隔離環境之外的字體在隔離環境內則不受影響，達到了和Win10這項防護類似的漏洞防御效果。

在XP盾甲4.0的產品中，360則引入了更強的內核字體引擎鎖定機制，針對內核字體引擎的攻擊防護強度又上了一個臺階。360一年前設計的XP盾甲防護機制同微軟公布的新一代操作系統中的新防護措施的不謀而合，也從側面印證了360在漏洞防護研究方面的探索。