独家揭秘通过泄露Sentinel Value绕过Chrome v8 HardenProtect

前言

Sentinel value(又名flag value/trip value/rogue value/signal value/dummy data)是算法中的一个特殊值，通常在循环或递归算法中作为终止条件的特殊值存在。Chrome源码中有很多Sentinel value。from-leaking-thehole-to-chrome-renderer-rce和TheHole New World - how a small leak will sink a great browser (CVE-2021-38003)中，都介绍了如何通过泄露TheHole对象实现CVE-2021-38003和CVE-2022–1364的沙箱内任意代码执行。在我们发文阐述该缓解绕过大概一周后，谷歌团队也迅速把这两个在野CVE同步更新到了github上。时间节点如下：

我们从Chrome源码中可以看到对TheHole对象导致任意代码执行的缓解修复。但实际上，除了TheHole对象外，v8中还有很多其他的原生对象，不应该泄漏到JS中。本文要讨论的对象是：Uninitialized Oddball，该绕过方法的完整代码最先出现在Issue1352549中，由Project0成员tiszka在exp中完整给出，值得一提的是，目前该方法目前仍可用于最新版V8，谷歌尚未针对该缓解绕过进行修复。

为引起厂商注意，这里我们不得不提一下该方法的通用性：

01-glazunov在提交Issue1216437(CVE-2021-30551)中首先给出的poc便是泄露internal uninitialized oddball，虽然第二个poc给出是类型混淆，但是结合本文方法仅有第一个poc即可轻松完成RCE;

02-Issue1314616(CVE-2022-1486)中，p0成员btiszka在给出的poc中也是直接泄露UninitializedOddball，虽然当时从泄漏UninitializedOddball到RCE的利用尚未完全清晰，但也足以说明安全问题，作者在Issue中如下陈述：

"Exploitability Notes: Currently, I'm not sure if this primitive can lead to more than an infoleak. Exploitation is not as straightforward as ..."

03-Issue1352549(NoCVE) 请注意该PatchGap的影响!

我相信这三点就足以给我们充分的理由去复核下可能受PatchGap影响的软件。截至目前，Skype尚未修复该漏洞。

Sentinel value in V8

我们可以在文件v8/src/roots/roots.h中看到v8的大部分原生对象。这些对象在内存中依次相邻排布。

漏洞触发后，一旦将不应该泄露到Javascript中的原生对象泄露了出去，即可实现沙箱内任意代码执行。上一篇文章中TheHole对象的泄露也恰好说明了该问题。这里我们也再次重申，该方法在最新版V8中尚未修复。

为了在最新版V8中验证该方法，我们可以通过修改v8的native函数，将Uninitialized Oddball泄漏到JavaScript中，这里我们直接对%TheHole()函数中相对isolate偏移(索引)进行修改即可实现返回值为Uninitialized Oddball。ida对Runtime_TheHole函数反编译后代码如下所示：

调用%DebugPrint(%TheHole())如下输出所示：

Bypass HardenType

该方法在Issue1352549中直接给出了所有源码，我们直接对其进行提取和简化即可，如下代码所示：

我们对上述代码在v8-11.0.0中测试，当%TheHole()返回UninitializedOddball时，仍旧可以实现相对任意读。

对优化后的JavaScript的read函数去掉Prologue，留下关键反汇编如下所示：

在0x558b2000407c处，检查了read函数的obj，确定其prop属性正确，但没有检查以obj.prop为key的Value，而是直接按照JavaScript语义计算偏移，求取数组的数值。如此导致我们在计算的时造成类型混淆，实现任意读。

如上汇编所示，当我们传入uninitialized_oddball时，从0x558b20004086开始以obj为起点计算，最终在vmovsd xmm0,[r9+r11*8+0x7]指令中完成任意读，数据保存在xmm0寄存器中。类似TheHole对象，由于uninitialized_oddball在v8内存中排序靠前，且对象内容更加原始，伪造更加容易，在TheHole缓解绕过修复后，该方法不失为绕过首选。同理，任意写我们可以参考Issue1352549进行构造分析。由于原理雷同，这里不再赘述。

这里修复建议是，对优化后的函数返回数组元素时，添加对数组map的检查，避免直接计算偏移返回数组数值。

PatchGap Alert

在我们谈论PatchGap时，实际上我们不仅仅需要关注曾经出现的历史漏洞，我们还要关注厂商在基础组件中悄悄修复的漏洞。对Issue1352549分析后，我们迅速排查了可能存在PatchGap的软件，这里不得不指出，截至目前Skype仍旧没有对该漏洞进行修复。在x86下任意读写会稍有不同。x64下由于存在地址压缩，在tuborgfun优化javascript生成的代码中，v8会默认将基址加上。x86由于没有基址，因此任意读写是直接相对于整个进程的。如下汇编所示：

如上所示，esi为任意读数组的索引，eax为固定值，edi为"out of bounds"检测的数值，实际上调试时我们可以看到，edi为一个很大的数值，远超过声明时数组的最大范围。

因此，在edi范围内，可以任意读写。在具体做skype的exp时，虽然此时我们没有地址压缩带来内存读写的便利，且skype开启了aslr。但由于该文件太大，直接放在4GB内存中，黑客只需要对某个固定地址进行读写，便可以一个极大的概率读写skype文件中的内容。结合PE解析等传统思路，不难完成整个漏洞利用链。基于此，我们无法保证黑客不能在短时间内完成整个利用链的适配。

这次PatchGap实际上不止需要排查Issue1352549，由于一个新的绕过方法的公开，直接导致了类似Issue1314616和Issue1216437的利用难度大幅度降低，黑客几乎不需要花费任何研究成本，即可实现以往任何泄露uninitialized_oddball漏洞的完整利用，包括谷歌cluster fuzz提交的所有Issue中类似的漏洞。

总结

本文仅抛砖引玉，粗略来谈通过泄露Sentinel value中的uninitialized_Oddball来实现任意读原语。如第二部分所示，v8中的Sentinel value还有很多，实际上我们在测试Sentinel value的时候，也会经常容易遇到崩溃，不乏有非int3的崩溃出现。由于Uninitialized_Oddball和TheHole均已被证明可以在v8中实现环节绕过，我们有充分的理由怀疑其他Sentinel value也可能导致类似问题。

这也给我们一点提示：

01-其他uninitialized_Oddball泄露是否会轻松实现v8的RCE；

02-我们已经看到，谷歌会迅速将TheHole绕过进行修复，我们也看到利用垃圾回收实现ASLR绕过被长期搁置。这说明类似issue仍处在一个模糊边界，即是否被正式当作安全问题对待。

03-如果02中的问题被当作正式安全问题对待，那么在fuzzer中是否有必要考虑将%TheHole/uninitialized_Oddball等Sentinel value作为变量加入，来挖掘其他利用原语；

这里不得不强调的是，无论该类问题是否被正式当作安全问题对待，它都会大大缩减黑客实现完整利用周期。

参考资料

https://bugs.chromium.org/p/chromium/issues/detail?id=1314616

https://bugs.chromium.org/p/chromium/issues/detail?id=1352549

https://bugs.chromium.org/p/chromium/issues/detail?id=1216437

https://starlabs.sg/blog/2022/12-the-hole-new-world-how-a-small-leak-will-sink-a-great-browser-cve-2021-38003/

欲了解更多信息，请访问: https://mp.weixin.qq.com/s?__biz=Mzg4MDcxNTc2NA==&tempkey=MTE5Nl82T2RGMWw4QUErWEVhR0NGQjNEWG9oRlJmc21taEJ0Y0NnVE1mWGEyTEs0V1N0Z2tiXzJGX3N5Um8tR2JrelVoMDJTcXFLUHFFYXZSM1RwZ1dNS0QzbFVqQ29TLURZOEp1VTZ6Y2FDMndKSzdHQnVNNmZtU082RTBIZl81WmQwMnQ3WjN6OGxGTld6aTJhQlhGWnFCc3N3OHRlSVlSc3BXWndwUHJ3fn4%3D&chksm=cf71b6aef8063fb860f5a0bcc5427327edc5f556930b2708ac766734133b7e12935ce97bfde0&token=71808693&lang=zh_CN#rd

郑重声明：本文版权归原作者所有，转载文章仅为传播信息之目的，不构成任何投资建议，如有侵权行为，请第一时间联络我们修改或删除，多谢。