Double fetch漏洞挖掘技术

什么是Double fetch?

Double fetch类型漏洞产生于多线程数据访问时，并且没有做必要的安全同步措施。多线程时，对同一数据一个线程读一个线程写，可能引起数据访问异常，而这个异常如果能被利用，这就是一个漏洞。

典型的情况，一个数据ring3应用访问，ring0也能访问，如果没有同步安全措施，可能会引起系统崩溃。

Double Fetch原理(图片来自网络，如有侵权，联系秒删)

技术探讨一

Google公司开源的bochspwn。

Bochspwn是在boch源码基础上修改，能够捕捉double fetch漏洞。

Bochspwn主要用到bx_instr_lin_access这个boch的api。

看下boch文档的介绍，这个回调是当模拟器有线性内存访问时会触发。

Boch中原api实现：

Bochspwn中bx_instr_lin_acess的实现，当ring0层代码访问ring3数据时，对应的指令会被bochspwn记录下来。

技术探讨二

利用intel pt技术特性挖掘。

按intel pt官方文档介绍，intel pt可以在硬件层记录程序的执行流程。

Pt可以对内核地址，多进程追踪 。pt不需要对系统打补丁，就可以对内核及应用进行动态分析。利用这一特性，找double fetch这类漏洞应该是可行的。

总结

以上探讨两种double fetch漏洞挖掘技术，pt是基于硬件，速度更优于模拟器。

本篇更倾向科普，同时也感谢开源给我们带来的技术进步，感谢前辈们的技术分享。

四维创智***实验室原创文章 转载请注明来源