Microsoft uszczelnia piaskownicę Edge. Powtórki z Pwn2Own nie będzie?

Ostatni konkurs Pwn2Own pokazał, że w dziedzinie bezpieczeństwaprzeglądarek Microsoft ma jeszcze wiele do nadrobienia – Edgezostało złamane pięć razy, na przeróżne sposoby. I nie jesttak, że Edge atakowano, bo konkurenci byli mało popularni. Wręczprzeciwnie, najpopularniejszą przeglądarkę świata, Google Chrome,atakowano wielokrotnie, ale bez skutku, nikomu w wyznaczonym czasiejej zabezpieczeń złamać się nie udało. Czy Microsoft jest wstanie coś z tym zrobić? Twórcy Edge zapewniają, że jaknajbardziej, opisując na łamach swojego korporacyjnego bloga, jakto wzmacniają piaskownicę, w której procesy tej przeglądarkidziałają.

Ludziom Microsoftu musiało być niewesoło podczas ostatniegoPwn2Own. W ciągu dwóch dni konkursu ich przeglądarka zostałazłamana przez pięć niezależnych zespołów (z czego trzypracowały dla chińskiej firmy Tencent Security). Team Ether jużpierwszego dnia zdalnie uruchomił kod w Edge poprzez lukę w silnikuJavaScriptu Chakra, a Team Lance i Team Sniper drugiego dnia uzyskałytaki sam efekt za pomocą dwóch różnych luk use-after-free, takżew silniku Chakra.

Także drugiego dnia swój kod w Edge uruchomił niezależnybadacz Richard Zhu, wykorzystując kolejne luki use-after-free w Edgei kernelu Windowsa, a porażkę modelu bezpieczeństwa Microsoftuprzypieczętowali ludzie z firmy Qihoo 360 – ich atak byłnajbardziej spektakularny, bo wykorzystując sekwencję lukprzepełnienia sterty w Edge, błędnego rozpoznania typów w kerneluWindowsa i źle zainicjalizowanego bufora w hiperwizorze VMware,uciekli ze swoim kodem z przeglądarki w maszynie wirtualnej prostodo hosta. Brawo Chiny – setki tysięcy dolarów nagród trafiły doskośnookich hakerów.

Jak widać, nawet warstwowa, izolacyjna strategia bezpieczeństwanie pozwoli spokojnie spać po nocach w tych czasach użytkownikomMicrosoft Edge. Żeby jednak ich życie nie było takim życiem nakrawędzi, deweloperzy Microsoftu wzięli się za wzmacnianieimplementacji piaskownicy (sandboksu), mającej ograniczyćzasięg udanych ataków.

Pierwszym podejściem Microsoftu do izolacji procesówprzeglądarki było wprowadzenie Protected Mode do Internet Explorera7. Wraz z Windowsem 8 system doczekał się pierwszych kontenerów naaplikacje (te ze sklepu Windows). Na bazie tych kontenerów InternetExplorer 10 i 11 doczekały się opcjonalnej implementacji EnhancedProtected Mode – opcjonalnej, bo niekompatybilnej z technologiąActiveX, którą wykorzystywało przecież tyle serwisówkorporacyjnych, szczególnie w intranetach.

Jako że jednak Edge nie wspiera już tego niewątpliwegopotworka, jakim z perspektywy bezpieczeństwa i interoperacyjnościjest ActiveX, Microsoft mógł sobie pozwolić na domyślniewykorzystanie w Edge izolacji kontenerowej. Dziś mamy więcniezależny kontener na menedżera aplikacji, kontener na aplikacjeinternetowe, na aplikacje intranetowe, na rozszerzenia, na interfejsużytkownika specjalnych stron przeglądarki i na aplikacje Flash.Najważniejszy jest tu oczywiście kontener na aplikacje internetowe– to z niego złośliwy kod musi się wydostać, by zainfekowaćsystem.

Windows 10 Creators Update ma przynieść znaczne uszczelnienietego konteneru, za sprawą zmniejszenia powierzchni ataku. Normalnieprocesom działającym wewnątrz kontenera odmawia się dostępu dojakichkolwiek zabezpieczonych obiektów, chyba że mają one wpiskontroli dostępu pozwalający im na taki kontakt z kontenerem.Normalnie zasoby sprzętowe dają aplikacjom z Windows Store(napisanym na platformę UWP) zielone światło.

W odniesieniu do kontenera aplikacji Edge tak to wszystkoprzeprojektowano, by domyślnie stracić dostęp do całegointerfejsu programowania WinRT. W efekcie zmieniono przeglądarkę, wjak to ładnie określono, wysoce bezpieczną cegłę.Teraz wyzwaniem stało się uczynienie tej cegły ponownie użyteczną.Zrobiono to za pomocą mechanizmu możliwości (Capabilities): jeślidany obiekt ma dany wpis z listy kontroli dostępu, a zgłaszającyżądanie kontener ma w tokenie żądania wskazanie na ten obiekt, towtedy i tylko wtedy dostanie dostęp. Na przykład, kamerkainternetowa może zostać udostępniona tylko procesowi z Edgeżądającemu w poprawny sposób dostępu do kamerki internetowej.Proces ten jednak w żaden sposób nie uzyska dostępu do innego niżkamerka zasobu.

W ten sposób, możliwość pomożliwości, aplikacje webowe w Edge znów zaczęły działać zokreślonymi zasobami. To samo powtórzono dla kontenera Flash, a towszystko nałożono telemetrię (a jakże) do wykrywania możliwychproblemów z brakami dostępu do zasobów – i w takiej formieudostępniono członkom programu Windows Insider.

Nowe Edge to nie tylkozmniejszanie powierzchni ataku. Słabymi punktami każdej piaskownicysą brokery, tj. mechanizmy udostępniające zasoby zgodnie zzałożoną polityką (np. dostęp do systemu plików w trybie doodczytu dla aplikacji, która chce wgrać plik do sieci). Brokerydziałając poza piaskownicą stają się więc naturalnym celem dlaataków przeprowadzanych wewnątrz piaskownicy – jak to określono,niczym więzień atakujący strażnika więziennego, byprzebrać się w jego mundur w celu ucieczki.

Uszczelnione Edge odcięło wielezbytecznych brokerów, a te co pozostały (na czele z brokeramisilnika JavaScriptu i środowiska Flash) zostały wzmocnione zapomocą różnych technik neutralizowania exploitów – w tymzamknięcia ich we własnych, mniej uprzywilejowanych kontenerach.

Z wewnętrznych testów Microsoftu wynika, że te prace przyniosłyrezultaty. Edge jest „ciasne” jak nigdy dotąd. Uzyskano o 100%zmniejszenie dostępu do mutexów, już żaden proces nie zawiesizasobu. O 90% zmniejszono dostęp do interfejsów WinRT i DCOM, o 70%dostęp do zdarzeń systemowych i linków symbolicznych, oraz o 40%dostęp do urządzeń.

Liczba okazji do zaatakowania Edge drastycznie więc zmalała. Czyto wystarczy, by utrudnić chińskim hakerom wygrywanie nagród nakonkursie Pwn2Own?