全文共1032字,阅读大约需2分钟。
8月19,以“归源·智变”为主题的 KCon 2023在北京拉开帷幕,聚焦前沿技术,以应用落地护航数字时代建设与发展。绿盟科技(300369)天机实验室主任研究员张云海、格物实验室安全研究员马良出席大会并发表主题演讲。
安全防护 更进一步
(资料图片仅供参考)
Windows早期并没有很严谨的动态链接库(DLL)版本管理机制,从而导致了著名的DLL Hell问题。为了解决DLL Hell问题,微软引入了Side-by-side assembly技术,使得动态链接库的多个不同版本可以共存于系统中,并且支持由应用程序来指定其所使用的动态链接库的版本。通过引入Side-by-side assembly技术,微软完善了动态链接库的版本管理,然而这一有着几十年历史的技术在设计之初并没有充分考虑安全问题,从而留下了重大的安全隐患。
绿盟科技天机实验室主任研究员 张云海
张云海在演讲中首先回顾了Side-by-side assembly技术的发展历史,详细分析了该技术的技术原理和工作机制,包括Manifest文件的格式、定义与作用,Activation Context的建立、查找与更新,Assembly Storage对动态链接库路径搜索的影响,以及Side-by-side assembly的缓存管理。
那么Side-by-side assembly技术在设计上存在什么问题呢?张云海在演讲中指出,Side-by-side assembly的缓存是全局共享的,所有的用户使用的都是同一个缓存实例,这样低权限用户对缓存所做的修改会被高权限用户所使用,从而能够影响到高权限用户行为,进而实现权限的提升。在现场演示了如何利用这一问题将普通用户提升到SYSTEM权限后,张云海也介绍了微软对这一问题的修复方案,同时提出了一些防护此类攻击的建议和相关措施。
对话近源攻击
绿盟科技格物实验室安全研究员马良以近源攻击安全研究四个不同的场景和案例,分享近源攻击的安全研究思路:
两种不同思路的激光窃听技术,解读传说中的窃听技术。
精心制作的机器特工,可完成各种高难度任务。不但可以偷情报,还可以偷东西。
电力猫:通过电线这种介质能够成为攻击进内网的利器。
通过无人机投递4G钓鱼Wi-FI攻陷内网的案例。
马良表示,近源攻击具有隐蔽性高、社工、无线安全、电子技术等多学科结合的特点,创新性强且具有隐蔽性,难以防范。在机遇与挑战并存的时代,攻击思路和方法不断革新,对防护手段和防护思路提出了更高的要求,也给防护带来了更多的挑战。马良指出,传感器技术可作为人工识别问题和解决问题的辅助手段。与此同时,安全意识培养尤为重要。
安全是发展的前提,发展是安全的保障,一个持续发展壮大的网络安全产业是保障我国网络空间安全的根本支撑。在数智时代浪潮中凝聚智变,未来,绿盟科技将秉承技术初心,持续推动以技术引领安全变革。