往期转头：「深蓝细察」2024 年度最别开生面的安全壮盛态

往期转头：「深蓝细察」2024 年度最具含"金"量的绕过

往期转头：「深蓝细察」2024 年度最具思象空间的新应用

在安全盘考东谈主员的共同致力下，越发严格的安全缓解要领，已经把大部老实存罅隙抹杀在了摇篮之中。

是时候秘书内存罅隙成为当年式了？

2024 年 7 月，一枚来自 Windows 阵营的"核弹"冲破了安全的幻象。咱们不禁提问：濒临来自内存的威迫，咫尺的城墙究竟能抗争些什么？

以下为本期《深蓝细察 | 2024 年度安全讲演》的第四篇。

2024 年 5 月，Lewis Lee、Chunyang Han 和 Zhiniang Peng 向微软讲演了一个存在于 Windows Server RDL ( Remote Desktop Licensing ) 劳动中的罅隙。7 月，该罅隙被树立并出当今公众视线。

一石激起千重浪，行为一个无需认证、无需用户交互即可触发汉典代码扩张的内存轻松罅隙，它已经出现便飞速激起各大安全厂商与从业者的高度柔和，一度被称作"核弹级罅隙"。

这即是本篇的主角——焦虑许可（MadLicense）。

尽管该罅隙开始被以为是并列"不朽之蓝"的存在，经调研发现，它的影响鸿沟本色上相对有限。该罅隙存在于 Windows Server 上的 RDL 劳动而非时常以为的 RDP 契约。该劳动仅行为一个可选装配项，用于允许多个用户通过 RDP 连续到劳动器，与大部分个东谈主用户关系不大。此外该罅隙存在于用户态，单个罅隙对系统的威迫能力较为有限。

罅隙的成因是汉典未授权用户能通过 RPC 汉典调用 RDL 劳动中的 TLSRpcTelephoneRegisterLKP 函数。该函数的子函数中对用户的部分输入进行 base24 到 base10 的解码，该功能并莫得对输入长度进行法令，导致了一个无长度法令的堆溢露马脚。

行为一个内存轻松罅隙，它的轻松力阻难小觑。于是咱们立即入辖下手进行复现，并试图磋商，在内存罅隙式微、安全缓解要领愈发严格的今天，要在最新 Windows 平台讹诈这么一个经典的堆溢露马脚，会碰到哪些结巴和挑战？

DARKNAVY 在 Windows Server 2025 下富厚的罅隙讹诈复现

复现放置如图。挫折机（右侧）启动坏心剧本，在受害者主机未进行任何操作的情况下，可富厚地拿下汉典主机的抑遏权（左侧 shell）。

自 Windows 10 引入的 segment heap 堆杀青机制，被泛泛应用在系统程度中。关于常用尺寸内存的分拨，使用 VS（Variable Size）或 LFH（Low Fragmentation Heap）分拨器杀青。

常用尺寸分拨历程

VS 分拨器关于溢出的防护机制较为完善。关于每个堆块，块首中的遑急信息均被加密；闲隙堆块间的连续也由安全性更高的数据结构代替。这些保护机制使得罅隙讹诈需要一定程度的信息走漏，大大提高了挫折门槛。

关联词当某一尺寸达到一定分拨次数时，堆块分拨会转为使用放置更高的 LFH 进行杀青。

相较 VS，LFH 的防护机制相对宽松。LFH 堆块不存在块首，因此不错毫无结巴地溢出到相邻堆块。为了缓解这一讹诈，LFH 的分拨接收了都备的立地化：堆块布局立地，且重用最近开释的堆块也不再可靠。这一丝不错通过堆喷射的技能进行绕过。

在焦虑许可罅隙酿成的无法令堆溢露眼前，segment heap 的沉溺机制被粗疏击穿了。咱们依然不错粗疏溢出到标的堆块，伪造对象以取得任性地址读写 / 任性地址调用的原语。

到这里讹诈还莫得末端。接下来濒临的通用内存缓解要领贯通会怎样？

微软在 Windows 8.1 Update 3 和 Windows 10 中引入了一项分量级的缓解要领——抑遏流保护（CFG）。在启用 CFG 后，波折调用会使用编译期间生成的位图进行考据，确保仅对程度中加载模块的函数进口处进行调用，从而灵验阻断了传统的代码片断重用挫折。

另一个在 Windows 10 被引入的缓解要领是任性代码防护（ACG）。ACG 可珍惜现存代码被修改，同期隔断了动态分拨可扩张内存。ACG 与 CFG 同期开启的情况下，同期绕过这两大防护变得十分繁重，竟然阻绝了传统的写入扩张 shellcode 的可能性。

需要属看法是，这两个机制并不可珍惜挫折者调用 CreateProcessA 等可能被铺张的函数。在不绕过以上内存缓解要领的情况下，任性函数调用已经鼓胀允许咱们在标的机上扩张任性敕令。

而罅隙原作家之一，华中科技大学副教师彭峙酿向咱们涌现，他们好像近 100% 富厚讹诈、扩张任性 shellcode。这意味着以上内存缓解要领依然存在被绕过的可能。

为安在接收最新缓解要领的 Windows Server 2025 上，此内存罅隙依然能被完整讹诈？

彭峙酿这么回话：

目前在 Windows 繁密最新缓解要领全开的情况下，由一个内存轻松罅隙杀青汉典讹诈，正常来说是极难的。好多罅隙已不存在被讹诈的旅途，或旅途少量极避开。

但这并不代表目前的缓解要领杀死了通盘的罅隙讹诈。能否完成讹诈每每取决于：挫折者为了完成讹诈所振作干与的时刻、对干系代码模块的练习程度、罅隙和具体模块的独特情况。

DeepSeek 锐评

微软对焦虑许可罅隙"竟然不可能讹诈"的自豪断言，折射出安全行业恒久存在的评估悖论：当罅隙评级体系脱离挫折者视角，便沦为自欺欺东谈主的技能乌托邦。

沉溺者用静态策动丈量动态攻防，用表面模子含糊实战可能，正是安全沉溺最大的盲区。这次罅隙讹诈链突破多重内存防护的试验贯通，安全评估不应是厂商的 " 免责声明 "，而应成为攻防对抗的动态标尺。若不可正视挫折者"技能暴力"的突破能力，再完整的缓解要领都将沦为数字时期的马奇诺防地。

明日九游会j9·游戏「中国」官方网站，请不时柔和《深蓝细察 | 2024 年度安全讲演》第五篇。