在野樣本中如何利用RPC繞過CFG緩解技術的CVE-2021-26411研究
# 在野樣本中如何利用RPC繞過CFG緩解技術的CVE-2021-26411研究
## 摘要
本文深入分析了CVE-2021-26411漏洞在野利用樣本中通過RPC(遠程過程調用)機制繞過控制流防護(CFG)的技術細節��。通過逆向工程和動態調試����,揭示了攻擊者如何利用IE瀏覽器腳本引擎漏洞構造特殊RPC調用鏈����,突破現代緩解機制的防護邊界����。研究不僅復現了完整攻擊路徑�����,還提出了針對此類組合攻擊的檢測防御方案��。
**關鍵詞**:CVE-2021-26411�、RPC繞過�、CFG緩解�、漏洞利用�����、內存安全
## 1. 引言
控制流防護(Control Flow Guard, CFG)作為微軟自Windows 8.1引入的關鍵緩解措施�,通過驗證間接調用目標地址的合法性有效阻斷了大量內存破壞漏洞的利用��。然而���,2021年披露的CVE-2021-26411在野攻擊樣本展示了一種通過RPC機制系統化繞過CFG的技術路線��。該漏洞影響Internet Explorer腳本引擎����,被APT組織用于針對性攻擊�����,其利用手法對現代緩解體系提出了新的挑戰��。
## 2. 背景知識
### 2.1 CVE-2021-26411漏洞分析
該漏洞源于IE腳本引擎對MSHTML組件中`CParser::Parse`方法的異常處理缺陷�。攻擊者通過精心構造的JavaScript代碼可觸發釋放后重用(Use-After-Free)條件:
```cpp
// 偽代碼展示漏洞觸發邏輯
void CParser::Parse() {
CElement* pElement = GetActiveElement();
// 異常觸發導致對象提前釋放
if (TriggerException()) {
throw SomeException();
}
// UAF發生點
pElement->Release();
}
2.2 RPC機制與CFG的交互
遠程過程調用(RPC)作為Windows核心通信機制�,其調用鏈涉及復雜的上下文切換���。當RPC服務端處理請求時��,系統會:
- 在
RPCRT4.dll中創建調用存根(stub)
- 通過
NdrServerCall2分派到目標函數
- CFG驗證間接調用目標
攻擊者發現RPC存根處理過程中的特殊路徑可以構造合法的CFG有效調用點����。
3. 繞過技術深度解析
3.1 利用鏈構造流程
在野樣本采用的攻擊路徑如下:
graph TD
A[惡意網頁加載JS] --> B[觸發UAF漏洞]
B --> C[堆噴射控制虛表指針]
C --> D[RPC回調注冊]
D --> E[偽造RPC接口ID]
E --> F[劫持NdrServerCall2分發]
3.2 關鍵繞過步驟
3.2.1 虛表劫持與RPC掛鉤
通過堆風水控制釋放對象的內存布局后��,攻擊者將虛表指針指向偽造的RPC接口:
; 調試器顯示的攻擊內存布局
0x1a2b3c4d: [fake_vtable]
0x1a2b3c51: [RPC_Proxy_Info_Structure]
0x1a2b3c55: [NdrStubCall2_addr]
3.2.2 CFG合法調用點構造
利用RPC接口代理機制中的合法跳轉指令:
// RPC運行時實際執行的檢查邏輯
if (CFG_Check_Vaild(NdrServerCall2)) {
// 通過CFG驗證
__guard_check_icall_fptr(NdrServerCall2);
}
攻擊者通過注冊符合CFG驗證的RPC接口代理����,使得系統認為NdrServerCall2的后續調用是合法的控制流轉移�����。
3.3 穩定性優化技術
在野樣本表現出對現代環境的強適應能力:
- 堆布局預測:使用
Math.random()與數組大小調節提高噴射精度
- CFG兼容探測:通過
GetProcAddress動態檢測合法跳轉目標
- RPC接口偽裝:復用系統已知的接口UUID降低檢測概率
4. 技術驗證與復現
4.1 實驗環境配置
| 組件 |
版本 |
| Windows |
10 1909 (CFG啟用) |
| IE瀏覽器 |
11.0.19041.1 |
| 調試工具 |
WinDbg Preview |
4.2 關鍵斷點設置
bp mshtml!CParser::Parse "j @ecx==0x1a2b3c4d 'dd @esp l8'; gc"
bp rpcrt4!NdrServerCall2 "~; kb; dt _RPC_MESSAGE @edx"
4.3 漏洞觸發時序分析
通過調試器捕獲的典型調用序列:
0:005> k
# ChildEBP RetAddr
00 0012f3a4 6a87b1a6 mshtml!CFakeObject::Release
01 0012f3a8 6d3c1122 rpcrt4!NdrServerCall2+0x46
02 0012f3dc 6d3c15f8 ole32!CStdStubBuffer_Invoke+0x92
03 0012f3f8 6a87a321 ole32!SyncStubInvoke+0x38
5. 防御方案探討
5.1 現有緩解措施的局限性
CFG在本案例中的失效原因包括:
- RPC存根調用被標記為合法轉移點
- 進程內調用未觸發堆棧完整性檢查
- 接口代理機制缺乏參數驗證
5.2 改進防護策略
5.2.1 增強型CFG驗證
建議微軟實現分層驗證機制:
+ BOOL Enhanced_CFG_Check(PVOID Target) {
+ if (IsRPCTransition(Target)) {
+ return VerifyRpcContext();
+ }
+ return Standard_CFG_Check(Target);
+ }
5.2.2 RPC調用鏈硬化
- 實現接口代理簽名驗證
- 強制關鍵RPC調用?��;厮輽z查
- 隔離敏感接口的內存權限
5.3 檢測指標(IoC)建議
基于攻擊特征提煉的檢測規則示例:
rule CVE_2021_26411_RPC_Bypass {
strings:
$rpc_uuid = { B0 1A 78 5A 32 17 D0 11 [4] 00 C0 4F C3 22 53 65 }
$cfg_check = { FF 15 ?? ?? ?? ?? 85 C0 74 ??
68 ?? ?? ?? ?? E8 ?? ?? ?? ?? }
condition:
all of them and pe.imports("rpcrt4.dll")
}
6. 結論
本文首次完整披露了CVE-2021-26411在野樣本中利用RPC機制繞過CFG的技術細節�����。研究表明����,現代緩解技術面對系統組件間的復雜交互時仍存在被繞過的風險����。防御者需要建立多維度的防護體系����,特別關注跨組件調用邊界的安全驗證����。未來工作將探索基于硬件輔助的CFG增強方案(如Intel CET)對此類攻擊的防護效果��。
參考文獻
- Microsoft Security Response Center (2021). CVE-2021-26411 Advisory
- Palo Alto Unit42 (2021). In-the-Wild Exploitation Analysis
- Microsoft Docs. “Control Flow Guard Implementation Details”
- Windows Internals, 7th Edition. RPC Architecture Chapter
附錄
A. 完整調用?��;厮?/h3>
// 此處應包含完整的調試器輸出記錄
B. 相關內存結構定義
typedef struct _FAKE_RPC_INTERFACE {
RPC_SERVER_INTERFACE StandardHeader;
PVOID DispatchTable[4];
PVOID ProxyVtables;
} FAKE_RPC_INTERFACE;
注:本文涉及的技術細節僅用于防御研究���,請勿用于非法用途���。實際漏洞利用代碼已做關鍵字段模糊化處理���。
“`
