新的“Turning Tables”技术绕过所有Windows内核保护措施

安全研究人员发现了一种新的开发技术，他们认为这种技术可以绕过Windows操作系统中存在的内核保护措施。

由安全研究人员Omri Misgav和来自enSilo的Udi Yavo发现，该技术名为Turning Tables，并利用Windows的页面表。

页表是所有操作系统（而不仅仅是Windows）的通用数据结构，用于存储虚拟内存和物理内存之间的映射。虚拟地址由OS进程执行的程序使用，而物理地址由硬件组件使用，更具体的由RAM子系统使用。

由于物理内存（RAM）是有限的，操作系统会创建所谓的“共享代码页”，其中多个进程可以存储相同的代码并在需要时调用它。

Misgav和Yavo表示，Turning Tables技术依赖于制作恶意代码，以恶意方式改变这些“共享代码页”，以影响其他进程的执行，其中一些进程具有更高的权限。

通过这种操作，Turning Tables技术允许攻击者将其代码的特权提升到更高级别，例如SYSTEM。

两位enSilo研究人员表示，该技术还可用于改变沙箱中运行的应用程序，这些沙箱是为保护应用程序免受此类攻击的唯一目的而创建的隔离环境。例如，Turning Tables可用于入侵在沙箱内运行的浏览器，例如Chrome。

Turning Tables也会影响macOS，Linux

此外，由于页面表的概念也被Apple和Linux项目使用，理论上，macOS和Linux也很容易受到这种技术的攻击，尽管研究人员尚未证实此类攻击。

“之所以采用这种技术是基于几乎所有现代操作系统所利用的优化，”enSilo团队表示。

但研究人员说，最令人惊讶的是这项技术绕过了近年来微软已经添加到Windows操作系统的所有内核级安全保护。

两位enSilo研究人员表示，他们向微软通报了转台技术。在本文发布之前，微软发言人无法发表评论。

Misgav和Yavo在本月初举行的BSides Las Vegas安全会议上展示了他们的研究成果。下面提供了会议记录的录制直播。Turning Tables演示文稿从8:57:26开始。会议上提供的幻灯片可在此处获取。