信息來源：51CTO

漏洞與攻擊無處不在。最近，劍橋大學(xué)的兩位研究人員發(fā)現(xiàn)了一個可以影響計算機(jī)代碼編譯器和軟件開發(fā)環(huán)境的漏洞——Trojan Source(木馬源) 。該漏洞幾乎影響所有計算機(jī)語言，包括對 C、C++、C#、JavaScript、Java、Rust、Go 和 Python 。

此外，惡意代碼可以將 Trojan Source 用于供應(yīng)鏈攻擊。

• 論文地址：https://trojansource.codes/trojan-source.pdf
• GitHub 地址：https://github.com/nickboucher/trojan-source

Trojan Source 攻擊方法利用的是字符編碼標(biāo)準(zhǔn) Unicode ，有以下兩種攻擊方式：

• 第一種是通過 Unicode 的 Bidi 算法(CVE-2021-42574)，該算法處理從左到右(如英語)和從右到左(如阿拉伯語和希伯來語)腳本顯示順序。該漏洞允許對字符進(jìn)行視覺上的重新排序，使其呈現(xiàn)與編譯器和解釋器所不同的邏輯順序;
• 第二種是同源攻擊 (CVE-2021-42694)，兩個不同的字符具有相似的視覺表示，例如拉丁語 H 和西里爾字母Н。

研究人員表示如果攻擊者通過逃過人類審閱成功地將目標(biāo)漏洞提交到開源代碼中，下游軟件可能會繼承該漏洞。在 GitHub 上的存儲庫中，他們提供了概念驗證 (PoC) 腳本。

Trojan-Source 攻擊

字符重新排序方式

Unicode 標(biāo)準(zhǔn)規(guī)定，內(nèi)存表示順序稱為邏輯順序，當(dāng)文本在一行的時候，大多數(shù)腳本從左往右顯示字符(例如英語)。然而，也有一些腳本(如阿拉伯語或希伯來語)顯示文本的自然順序是從右往左。當(dāng)混合具有不同顯示順序的腳本時，必須有一種確定性的方法來解決方向沖突。對于 Unicode 來說，雙向或 Bidi 算法可以實現(xiàn)。

某些場景下，Bidi 算法設(shè)置的默認(rèn)排序可能不夠。對于這些情況，Bidi 算法提供覆蓋控制字符(override control characters)。Bidi 算法覆蓋是不可見的字符，從而可以切換字符組的顯示順序。

例如，考慮以下 Unicode 字符序列：RLI a b c PDI，那么將顯示為：c b a。

下表 I 提供了與此攻擊相關(guān)的控制符列表：

隔離重新排序方式

在 Bidi 規(guī)范中，隔離(isolates)是被視為單個實體的字符組;也就是說，當(dāng)顯示順序被重寫時，整個一組字符將作為單個塊移動，隔離可以嵌套。

假設(shè) Unicode 字符為：RLI LRI 4 5 6 PDI LRI 1 2 3 PDI PDI，那么將顯示為：1 2 3 4 5 6。

相互嵌入多層 LRI 和 RLI，可以近乎任意地重新排序字符串。那么攻擊者就可以將雜亂的字符，經(jīng)過這種方式，將自己想要的功能插入到當(dāng)前的開源項目中，讓用戶下載后執(zhí)行，從而在不知情的情況下來執(zhí)行漏洞代碼。

語法依從性

大多數(shù)設(shè)計良好的編程語言不允許在源代碼中使用任意控制字符，因為它們被視為影響邏輯的 token。因此，在源代碼中隨機(jī)放置 Bidi 覆蓋字符通常會導(dǎo)致編譯器或解釋器語法錯誤。為了避免這種錯誤，我們可以利用編程語言的以下兩個原則：

• 注釋：大多數(shù)編程語言都允許編譯器和解釋器忽略所有文本(包括控制符)注釋;
• 字符串：許多編程語言允許字符串可以包含任意字符，同理也包括控制符。

雖然注釋和字符串都具有指示其開始和結(jié)束的特定于語法的語義，但 Bidi 覆蓋不遵守這些界限。因此，通過將 Bidi 覆蓋字符專門放置在注釋和字符串中，我們能夠以大多數(shù)編譯器可接受的方式將它們注入到源代碼中。

示例展示

如下圖所示，通過任意控制符改變了代碼邏輯。下列代碼中的 if 條件沒有執(zhí)行，而是被放置在注釋部分，程序顯示效果起到了欺騙用戶的作用。

研究人員還展示了如何在 C++ 中執(zhí)行同源文字攻擊。他們使用了兩個看起來相似但實際上不同的 H，藍(lán)色的拉丁語 H 和紅色的西里爾字母Н。當(dāng)進(jìn)行編譯時，該程序輸出文本「Goodbye, World!」。

加強(qiáng)防御

這樣的攻擊可能很難檢測，因為經(jīng)過渲染的源代碼看起來非常完美。如果邏輯上的變化足夠微小，以至于后續(xù)測試中未被發(fā)現(xiàn)，那么攻擊者可能會在不被發(fā)現(xiàn)的情況下引入有針對性的漏洞。

同樣令人擔(dān)憂的是，Bidi 覆蓋字符通過復(fù)制、粘貼操作，仍然存在于瀏覽器、編輯器和操作系統(tǒng)上。

「開發(fā)者將代碼從不受信任的來源復(fù)制到受保護(hù)的代碼庫中，這種做法可能無意中引入了一個不可見漏洞，」劍橋大學(xué)計算機(jī)安全教授、該研究的合著者 Anderson 表示?！高@種代碼復(fù)制是現(xiàn)實世界安全漏洞的重要來源。」

約翰霍普金斯信息安全研究所的副教授 Matthew Green 表示，「劍橋研究清楚地表明，大多數(shù)編譯器都可以被 Unicode 欺騙，以不同于研究者預(yù)期的方式處理代碼?！?

好消息是，研究人員進(jìn)行了廣泛的漏洞掃描，還沒有人利用這一漏洞。壞消息是目前還沒有防御措施，將來可能會有人利用該漏洞進(jìn)行一些破壞。

Green 表示：希望編譯器和代碼編輯器開發(fā)人員能夠快速修補(bǔ)這個漏洞!但由于有些人不定期更新他們的開發(fā)工具，至少在一段時間內(nèi)會有一些風(fēng)險。

圖源：XKCD.com/2347/

加州大學(xué)伯克利分校計算機(jī)科學(xué)系的講師 Nicholas Weaver 表示，劍橋提出了一組非常簡單、優(yōu)雅的攻擊，可能會使供應(yīng)鏈攻擊變得更加嚴(yán)重。

人類已經(jīng)很難從源代碼中區(qū)分「this is OK、this is evil」，Weaver 表示。對于這種攻擊，你可以使用改變方向來改變注釋和字符串的呈現(xiàn)方式，例如「This is okay」只是一種呈現(xiàn)形式，但「This is」okay 才是它在代碼中的存在方式。幸運(yùn)的是，它有一個非常容易掃描的標(biāo)記，因此編譯器在將來遇到它時可以「檢測」它。

研究人員表示，軟件公司在最初披露期間，提供了 99 天的禁錮期，以允許通過軟件更新修復(fù)受影響的產(chǎn)品。

研究人員寫道：「我們收到了各種各樣的回應(yīng)，包括修補(bǔ)承諾、Bug 賞金計劃、快速駁回等。在我們與之合作的 19 家軟件供應(yīng)商中，有 7 家使用外包平臺接收漏洞披露，6 家擁有專門的漏洞披露門戶網(wǎng)站，4 家通過 PGP 加密電子郵件接受披露，另外兩家僅通過非 PGP 電子郵件接受披露。他們都確認(rèn)收到了我們的披露，最終 9 家承諾發(fā)布補(bǔ)丁?！?

此外，還有 11 家接受者有 Bug 賞金計劃，為漏洞披露提供報酬。但研究人員報告說，只有 5 家支付賞金，平均支付 2,246 美元。

Anderson 表示，「到目前為止大約有一半的組織已經(jīng)承諾提供補(bǔ)丁，而其他組織還在拖延。我們將接下來將監(jiān)控他們的部署，還希望 GitHub、Gitlab 、 Atlassian 采取行動?！?

參考鏈接：

https://krebsonsecurity.com/2021/11/trojan-source-bug-threatens-the-security-of-all-code/http://cn-sec.com/archives/609155.htmlhttp://cn-sec.com/archives/609155.html