Linux内核堆安全加固思路分析：基于kCTF的研究

Linux内核堆安全加固思路分析：基于kCTF的研究 背景概述 谷歌kCTF漏洞奖励计划在2020年推出，旨在奖励发现影响谷歌GKE产品的漏洞。2022年更新后加入了对谷歌加固安全内核的挑战。本文深入分析谷歌安全工程师对Linux内核堆的加固思路，并提出可能的绕过方法。 Linux内核堆利用常见手法 1. Object重用攻击 先释放目标object 向同一slab管理器申请不同object 进行后续利用 2. Cross-Cache攻击 先释放目标object slab管理器释放对应内存页 通过其他slab管理器申请object 促使其他slab管理器获取该内存页 使用场景差异 ： Object重用：当受影响object的slab管理器可申请常用结构体(如tty_ struct)时使用 Cross-Cache：当找不到合适结构体时使用 谷歌加固方案详解 针对Object重用的加固 实现方式 ： 扩展原有 kmalloc-xx 通用slab管理器 新增 dyn-kmalloc-xx slab管理器 使用 __builtin_constant_p 编译器内置函数判断： 内存大小为常数：使用原 kmalloc-xx 非常数：使用 dyn-kmalloc-xx 效果 ： 隔离固定大小和非固定大小的内存分配 限制利用常用结构体(pipe_ buffer, tty_ struct等)进行UAF或堆溢出攻击 针对Cross-Cache攻击的加固 实现策略 ： 为SLUB objects分配独立内存空间 防止slab内存释放后被其他slab使用 影响 ： 有效缓解Cross-Cache攻击 可能导致特定场景下内存使用效率降低 加固效果分析 第一类加固(针对Object重用) 分离固定/非固定大小内存分配 提高UAF和堆溢出漏洞利用难度 传统利用常用结构体泄漏信息和劫持控制流的方法失效 第二类加固(针对Cross-Cache) 有效阻止跨slab内存重用 可能造成内存浪费 可能的绕过思路 针对第一类加固的绕过方法 场景1：漏洞结构体为固定大小 挑战：难以通过释放后堆喷填充内存 可能方案： 寻找大小相似的替代结构体，构造type confusion实现信息泄漏和控制流劫持 利用结构体中的非固定大小内存指针，根据上下文完成利用 场景2：漏洞结构体为非固定大小 机会：可能借助内核中非固定大小结构体 条件：结构体大小随用户输入变化 潜力：可发展出更通用的利用方案 总结与展望 谷歌加固方案通过少量代码修改实现了显著安全提升 目前仍属实验性质，但思路值得借鉴 未来可跟进kCTF中实际绕过案例，进一步总结对抗方法 内核安全加固领域仍有广阔研究空间 进一步研究方向 分析kCTF中已公开的绕过案例 研究其他内核堆加固技术(如随机化、隔离等) 探索不同漏洞类型(如UAF、堆溢出)在加固环境下的利用方法 评估加固方案对系统性能的影响