谷歌發布安全補丁以解決Nexus 6的CVE-2016-10277漏洞

HCL Technologies的安全研究人員透露，谷歌在2017年5月的安全補丁中解決的一個允許通過內核命令行注入以繞過Nexus 6的Secure Boot安全防護的漏洞。

利用此漏洞，通過物理接觸設備的攻擊者或者通過ADB / fastboot USB訪問（引導載入程序鎖定）設備的攻擊者均可獲得無限制的root許可權並「完全掌控用戶的空間」。在此基礎上，攻擊者就可以載入一個惡意篡改的initramfs鏡像。

安全研究員Roee Hay還解釋說，漏洞的利用不會導致設備重置出廠設置，用戶的數據不會被改變，依然保持加密的狀態。該漏洞被標記為CVE-2016-10277。

Hay說，這個問題是CVE-2016-8467的延續，CVE-2016-8467是影響Nexus 6 / 6P引導載入程序的高風險漏洞，CVE-2016-8467在谷歌2017年1月的安全補丁中就得到了解決。漏洞的原理是利用fastboot命令來更改內核命令行中的androidboot.mode參數，可以通過加固引導程序來解決問題。

研究人員指出，就在谷歌發布補丁之前，我們已經發現了在Nexus 6上繞過它的方法。

因為Nexus 6的引導載入程序中的fsg-id，carrier和console參數可以通過fastboot介面進行控制（即使引導載入程序被鎖定），如果引導程序沒有清理這三個參數，那麼將可以傳遞任意的內核命令行參數。研究人員還發現了一系列可以包含任意值並且傳播到內核命令行的參數。

在發現它們可能會篡改引導模式之後，研究人員就開始專註於通過在命令行中插入任意參數來進一步破壞設備。最終，他們發現可以通過控制一個參數導致安全引導崩潰。

exploit依賴於initramfs，這是一個在Linux內核初始化期間被載入到rootfs（一個RAM文件系統）的cpio（gzip））歸檔。引導程序為設備中的Linux內核準備內核命令行和initramfs參數，然後將執行轉移到Linux內核。

研究人員指出，kernel_init函數執行名為/ init的第一個用戶空間進程，內核命令行參數rdinit可以覆蓋此默認值，但是卻不起作用，主要是因為Nexus 6 initramfs沒有包含足夠大的二進位文件集。

Hay說，「有趣的是，我們已經發現通過更改內核命令行參數initrd，可控制initramfs載入的物理地址，」

通過覆蓋引導載入程序在設備中提供的默認值，就能導致內核崩潰。接下來，他們專註於通過fastboot將自己的initramfs存檔載入到設備的內存中。

「請注意，Linux內核不會重新驗證initramfs的真實性，因為這一步依賴引導程序，因此，如果我們設法將更改過的initramfs放在受控的phys_initrd_start物理地址上，內核就會將其填充到rootfs中， 「研究人員解釋說。

Fastboot通過USB提供一種下載機制，因為即使在鎖定的引導載入程序上，操作依然可以進行，攻擊者就能在設備上載入被篡改的initramfs。如果引導程序和內核在initramfs被填充到rootfs之前不會覆蓋數據，那麼漏洞利用就會成功。

安全研究人員創建了一個POC，並在GitHub上公開發布。在完全控制rootfs後，攻擊者可以創建一個惡意/供應商文件夾，這個文件夾一般會保存主板中可用的各種SoC的固件映像。

「內核驅動程序通常在初始化時會載入這些映像，並在需要時更新其對應SoC。因此，攻擊者可能會直接載入未簽名的固件映像。我們還沒有驗證是否確實這樣，但是從我們之前對其他設備的經驗來看，還有。即使是對於有簽名的，降級攻擊也是可能的發生的。「Hay說。

黑客視界：先手掌握行業新聞，深度挖掘與探討。充分考慮企業需求，以輕鬆的氛圍和簡潔的內容，讓信息安全各處普及。你身邊的安全趣事、科技難事都可以投稿給我們，我們一起分享一起解決。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！