韩国大学的安全研究人员近日揭示了一项针对搭载Apple Silicon处理器的macOS系统的新漏洞，该漏洞名为“SysBumps”，成功绕过了内核地址空间布局随机化（KASLR）机制。KASLR是保护内核内存免遭攻击的关键安全机制。

在2024年ACM SIGSAC计算机与通信安全会议（CCS '24）上，研究人员展示了这一发现，暴露了Apple先进内核隔离技术的重大缺陷。

KASLR技术简介

KASLR是一种内核加固技术，通过在系统启动时随机化内存地址，防止攻击者预测关键内核结构的位置。这种随机性对于缓解内存损坏漏洞至关重要，因为它迫使攻击者猜测内核的基地址，而高熵值使得这一任务的难度呈指数级增加。

在Apple Silicon的macOS系统中，Apple进一步强化了KASLR，实施了“双重映射”内核隔离技术，将用户空间和内核空间的地址布局分开。然而，SysBumps攻击表明，即使是这些高级防御措施也能被绕过，研究人员在多种M系列处理器（包括M1、M2及其Pro和Max版本）上实现了96.28%的成功率。

SysBumps攻击的工作原理

SysBumps利用了macOS系统调用中的推测执行漏洞。推测执行是现代处理器中的一种性能优化技术，能够提前预测并执行指令。虽然这有助于提升速度，但也会在微架构组件（如转换后备缓冲区TLB）中留下痕迹，攻击者可以将其作为侧信道加以利用。

该攻击主要分为三个步骤：

**触发推测执行：**某些macOS系统调用会对用户提供的参数进行验证检查。通过故意误导分支预测器，SysBumps诱导系统对无效输入进行推测执行。这种短暂的执行会访问内核地址，如果地址有效，则会在TLB中留下可检测的痕迹。

**TLB侧信道分析：**通过逆向工程了解Apple Silicon的TLB架构，攻击者采用“prime+probe”技术监控TLB状态变化。通过测量访问延迟，他们能够区分有效和无效的内核地址。

**破解KASLR：**通过系统性地探测内存区域，SysBumps会识别有效的内核地址范围，并高精度计算内核基地址。

Apple的双重映射内核隔离技术本应通过确保用户空间无法访问内核地址来防止此类攻击。然而，SysBumps利用系统调用中的推测执行绕过了这一屏障。

攻击性能与实际影响

研究人员通过性能监控单元（PMU）逆向工程了Apple M系列处理器的TLB架构，揭示了其共享设计的关键细节。这些知识使他们能够构建出区分有效和无效内核地址的攻击原语。

SysBumps攻击通过暴露内核的随机化布局，削弱了macOS对抗内存损坏漏洞的核心防御。该攻击的平均执行时间仅为3秒，在现实场景中既实用又高效。其影响十分严重：一旦KASLR被攻破，攻击者将更容易利用其他漏洞获取未授权访问或执行任意代码。

缓解措施与行业响应

研究人员于2024年4月负责任地向Apple披露了这一发现。Apple已确认该漏洞（追踪编号为CVE-2024-54531），并正在研究缓解策略。研究提出了几种应对措施：

**TLB分区：**将用户和内核进程的TLB入口分开，可以消除共享竞争，减少侧信道泄漏。

**推测执行隔离：**在条件分支前插入DSB和ISB等序列化指令，可以防止敏感代码路径的推测执行。

**TLB行为修改：**为无效地址分配TLB入口，将使攻击者更难区分有效和无效地址。

随着Apple向ARM架构的过渡，解决此类漏洞对于维护用户信任和系统安全至关重要。鉴于这些发现，macOS用户应尽快安装最新的安全补丁，以保持系统的安全性。

参考来源：

KASLR Exploited: Breaking macOS Apple Silicon Kernel Hardening Techniques