白泽带你读论文｜RSFUZZER

在该问题中，存在五个挑战需要克服：

挑战1 需要考虑多样的输入接口。一些SMI处理程序需要从多个输入接口接收测试输入，包括CommBuffer和硬编码内存地址。这使得生成有效的测试输入变得更加复杂。

挑战2 需要满足复杂的输入格式限制。为了有效地测试SMI处理程序，测试输入需要满足特定的格式要求。如果不能正确地嵌入输入变量的内容，可能导致输入解析失败，无法充分测试使用了特定变量的处理程序。

挑战3 需要满足处理程序间的协同调用。触发某些漏洞需要多个SMI处理程序的参与。这些处理程序之间存在依赖关系，需要按照特定的顺序调用它们才能触发漏洞。

挑战4 （触发漏洞）需要满足路径约束。一些漏洞受到路径约束的保护，只有满足特定的路径条件才能触发漏洞。解决这些路径约束是检测漏洞的关键。

挑战5 需要具备感知静默损坏的能力。一些漏洞属于静默损坏，即不会导致处理程序崩溃。这种类型的漏洞很难通过监控崩溃来检测，需要采用其他方法来发现。

图1展示了一个任意写漏洞的实例代码片段。在代码的第18行，程序执行到此处时发生了漏洞。变量buffer的值由用户输入控制，因此攻击者可以将值0写入任意内存地址。下面对该实例和挑战的关系进行阐释。

为了对一个SMI处理程序进行模糊测试，首先需要确定其输入接口，以便提供测试输入。一个SMI处理程序可以有多个输入接口。例如，在图中的Handler1中有两个输入接口：CommBuffer变量和硬编码的内存地址0x40E。该现象对应挑战1，即尽管CommBuffer在UEFI中被正式指定为SMI处理程序与内核空间程序之间的通信通道，但实际上许多SMI处理程序也通过硬编码的内存地址从内核空间程序接收数据。

确定了输入接口后，就可以尝试生成测试输入。然而，为了有效地测试SMI处理程序，这些测试输入需要具有良好的结构。例如，变量buffer是从输入的CommBuffer中提取的结构体。该现象对应挑战2，即如果无法将buffer的内容正确地嵌入到为CommBuffer生成的测试输入中，由于输入解析失败，无法充分测试使用buffer变量的处理程序。

要触发漏洞并执行第18行的代码，需要调用Handler3并满足第16行和第17行的if条件。这些条件涉及到signature和buffer变量，它们的值分别在Handler1和Handler2中进行了初始化。因此，在触发漏洞之前，需要先调用Handler1和Handler2。该现象对应挑战3，即触发某些漏洞需要多个SMI处理程序的参与。由于signature和buffer在多个SMI处理程序中被使用，本文将它们称为跨处理程序变量。

在第18行之前，signature的值必须等于0x54768345。该现象对应挑战4，即一些漏洞受到路径约束的保护。

对于具有高于ring-1特权级别的程序来说，写入任意内存地址可能会导致程序崩溃，从而被模糊测试工具捕获。但是，SMI处理程序具有ring-2的特权级别，可以访问任何内存位置，即使有时它们不应该使用这种特权。因此，无论如何调整buffer的值，Handler3都不会在第18行崩溃。因此，模糊测试工具无法通过监控崩溃来检测到图中展示的漏洞。该现象对应挑战5，即一些漏洞只是静默损坏，不会导致SMI处理程序崩溃。

威胁模型

在本文中，作者假设攻击者具有ring-0权限但没有ring-2权限，因此他们可以在物理上修改所有内存，但无法直接操作SMRAM（System Management RAM）。在这一点假设下，攻击者可以通过向CommBuffer输入可控内容来提供测试输入，并利用SMM handler（系统管理中断处理程序）的漏洞来实现权限提升和恶意攻击。

RSFUZZER流程

测试用例生成

RSFUZZER通过以下方法提取输入知识：

基于结构的种子生成策略。每当RSFUZZER获取到与输入格式相关的新知识时，它会根据相应的格式分配内存，并填充随机数据生成一个新的测试用例种子。

基于限制条件的测试用例突变策略。如果约束求解在一段时间内无法解出，RSFUZZER对与未触发的分支相关的变量进行突变，使其变异为与分支条件相同或略大、略小的值。如图4所示。

基于污点的测试用例突变策略。由于SMI处理程序拥有ring-2级权限，对内存的污染很可能不会导致崩溃。为了解决这个问题，RSFUZZER在执行混合符号执行之前，分配了一块不可读、不可写、不可执行的Red Zone内存。在混合符号执行过程中，RSFUZZER会标记所有用户可控的内存指令为危险指令，并通过变异潜在的危险指令，使其指向Red Zone内存，从而触发崩溃。通过这些策略，RSFUZZER能够有效地提取输入知识，并在后续的测试用例生成和执行过程中应用。

跨处理程序知识提取

在跨处理程序知识的提取方面，RSFUZZER采取以下步骤：在单处理程序模糊测试模式下，RSFUZZER记录SMI处理程序的变量处理行为，并识别跨处理程序的变量。具体而言，RSFUZZER通过分析SMI处理程序的变量处理行为，确定其是某一特定跨处理程序变量的生产者还是消费者。为了识别跨处理程序变量，RSFUZZER考虑了跨处理程序代码段的三个特征：1. 跨处理程序代码段总是访问相同的内存位置；2. 至少有一个代码段可以对内存位置进行写操作；3. 跨处理程序变量可以在不同的SMI处理程序之间传递。通过分析指令执行轨迹，RSFUZZER能够确定内存访问指令中的变量是生产者还是消费者。

在跨处理程序模糊测试模式的调度方面，RSFUZZER根据跨处理程序变量的生产者-消费者关系来安排SMI处理程序的执行顺序。为了确保跨处理程序变量在被另一个SMI处理程序消费之前先由一个SMI处理程序产生，RSFUZZER首先执行产生跨处理程序变量的SMI处理程序。然后，RSFUZZER以随机顺序执行消费者的SMI处理程序。通过这样的调度策略，RSFUZZER能够有效地进行跨处理程序的知识提取和模糊测试。

有效性评估

为了评估RSFUZZER的有效性，作者在选取的数据集的UEFI固件镜像上运行RSFUZZER，以发现新的漏洞。对于所有测试的固件，RSFUZZER能够自动识别SMI处理程序的输入通道，并将模糊测试生成的输入数据提供给分析的SMI处理程序。总体而言，RSFUZZER发现了65个新漏洞，其中20个得到了相应供应商的确认。其中14个已被分配CVE号并由供应商修复，如表II所示。值得注意的是，许多固件镜像（特别是来自Intel、Dell、ASUS、AMD和Lenovo）已经被安全研究人员广泛研究和测试，并发现了许多漏洞。尽管如此，RSFUZZER仍能够发现大量新的漏洞，说明其在生成高度结构化输入并在复杂的健全性检查下推动模糊测试进入更深层次路径的能力。

和基准对比

为了评估RSFUZZER生成的测试用例的性能，本文与Syzgen的模糊测试实验进行比较。本文跟踪了基本块覆盖率的增长趋势，并且图6展示了每个模糊测试工具生成的代码覆盖率情况。结果显示，RSFUZZER在所有固件镜像上以更快的速度覆盖了更多独特的基本块，因为RSFUZZER覆盖率的95%置信区间下界高于Syzgen覆盖率的95%置信区间上界。

具体来说，如图6所示，RSFUZZER在所有固件镜像的覆盖率方面优于Syzgen。根据Mann-Whitney U检验，所有p值都小于5.00e-2，表明RSFUZZER将基本块覆盖率提高了高达617%。在本文的设置中，Syzgen表现不佳，原因如下：1. 为了恢复嵌套对象，Syzgen追踪创建嵌套对象的内部API，但是在UEFI固件中，不存在从内核空间到SMRAM执行深层复制的API函数。2. Syzgen侧重于识别不同接口之间的返回值和参数关系。在独特漏洞方面，如图7所示，RSFUZZER检测到了总共65个独特漏洞，而Syzgen只检测到了7个，这意味着RSFUZZER在漏洞检测方面的提升达到了828%。作者对结果进行了手动分析，发现Syzgen和SPENDER找到的所有漏洞都能被RSFUZZER找到。总体而言，本文的结果显示，相较于Syzgen和SPENDER，RSFUZZER在检测更广泛的漏洞方面具有很好的效果。

知识提取模块评估

为了进一步评估输入格式知识和跨处理程序知识对漏洞检测的贡献，本文分析了检测到的漏洞与这两种知识之间的关系。如表IV所示，对于涉及复杂输入格式的漏洞，输入格式推断是必要的。提取跨处理程序知识对于调度SMI处理程序和检测跨处理程序漏洞也很重要。