ASLR i DEP: badacze obalili ostatnie filary bezpieczeństwa Windows

Microsoft utrzymuje, że użytkownicy Windows, korzystający z przeglądarki Internet Explorer 8 są chronieni przed atakami typu drive-by – wykonywaniem wrogiego kodu z poziomu stron internetowych. Wszystko dzięki mechanizmom ASLR (Adress Space Layout Randomization) i DEP (Data Execution Prevention). Miały one nawet zabezpieczać IE8 nawet przed głośnym ostatnio exploitem Aurora. Jednak najnowsze starania niezależnych specjalistów pokazały, że nie są one już tak skuteczne.

Dwie niezależne grupy ekspertów wykorzystały słabości w odtwarzaczu Flash – zainstalowanym na praktycznie każdym komputerze z Windows – aby obejść zabezpieczenia Microsoftu. W celu przezwyciężenia technologii randomizacji przestrzeni adresowej, wykorzystano kompilator JIT (just-in-time) Flasha, za pomocą którego rozpylono w pamięci repliki shellkodu (niskopoziomowego kodu maszynowego, służącego do wywołania powłoki systemowej – który pozwala na eskalację uprawnień i nieautoryzowany dostęp do systemu).

„To rozpylanie poprzez JIT działa całkiem solidnie, przynajmniej w 9 na 10 wypadków udaje się trafić na właściwą pozycję [adres pamięci, z którego Windows uruchamia program – przyp.red.]” – stwierdził Dionysus Blazakis, znany specjalista od bezpieczeństwa… systemów telewizji satelitarnej. Przedstawił on swój atak wczoraj na konferencji Black Hat Security w Waszyngtonie. Tam dzięki swojej technice rozpylania przez JIT Adobe Flasha, zmusił IE8 do uruchomienia programu Kalkulatora Windows – choć oczywiście równie dobrze mógł być to złośliwy kod.

Podobną technikę, która wykorzystuje rozpylanie JIT, wykorzystali badacze z firmy Immunity, produkującej oprogramowanie Canvas do testów bezpieczeństwa. Jego najnowsza edycja radzi sobie z zabezpieczeniami DEP systemu Windows 7.

„Nie było to łatwe” – przyznał Nicolas Pouvesle, starszy specjalista z Immunity, autor exploita. Na początku konieczne było znalezienie złośliwego shellkodu w pamięci. Następnie trzeba było pokonać DEP, uniemożliwiającego wykonanie załadowanych do pamięci danych. Ostatecznie Pouvesle wykorzystał w tym celu Flasha, aby rozpylić „wiele dużych plików Flash” w pamięci, a następnie obszedł DEP, przekształcając kod Action Scriptu w kod maszynowy i powlekając go zamaskowanym shellkodem.

Zdaniem specjalisty z Immunity, Microsoft nie poradzi sobie zbyt szybko z tymi zagrożeniami – wymagałoby to wprowadzenia zmian w mechanizmie alokacji pamięci, to zaś jest „zbyt złożoną kwestią, aby zrobić to w najbliższym czasie”.

Źródło: TheRegister.co.uk, DarkReading.com

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

10 skomentuj »

Komentarze

#1 something 2010-02-04 10:54:52 0
"Obalili filary"? I Flasha do tego potrzebują? Bez niego się nie da obalić? To do d... z takim obalaniem. ;)

Wygląda na to, że autor notki coś obalił przed napisaniem tego tekstu... (Btw: obecna w tekście mściwa satysfakcja pachnie piaskownicą).
IP: 89.174.38.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2) Gecko/20100114 Firefox/3.6
#2 dAREuS^® 2010-02-04 11:15:26 0
@something, czy wcześniej ALR i DEP zostały obalone?
IP: 188.121.11.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/532.8 (KHTML, like Gecko) Iron/4.0.275.2 Chrome/4.0.275.2 Safari/532.8
#3 slawek22 2010-02-04 11:23:00 0
@something

A co to za różnica z flashem czy bez? DEP i ASLR to zabezpieczenia na poziomie systemu operacyjnego a nie przeglądarki.

Raczej to twój komentarz pachnie ignorancją.
IP: 83.4.50.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.249.78 Safari/532.5
#4 eimi^® 2010-02-04 11:26:06 0
komentarze mojego ulubionego something są zawsze pełne soczystych racji. Szkoda tylko, że zawsze mijających się z meritum sprawy. Flash jest na ponad 90% komputerów PC i kpiarstwo "bez niego nie da się obalić" jest chyba przejawem w najlepszym razie "security through PR".

Jak na Black Hacie to pokazali, to pewnie gotowe exploity będą dostępne na chińskich i brazylijskich forach za 3.. 2.. 1...
IP: 83.10.188.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2) Gecko/20100114 Firefox/3.6
#5 lck 2010-02-04 11:39:51 0
"Flash – zainstalowanym na praktycznie każdym komputerze z Windows – aby obejść zabezpieczenia Microsoftu. Aby pokonać randomizację przestrzeni adresowej, wykorzystano kompilator JIT (just-in-time) Flasha, aby"

Pan Adam się chyba troszkę zapowietrzył ;)
IP: 83.18.90.[...] Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/532.9 (KHTML, like Gecko) Chrome/4.0.305.0 Safari/532.9
#6 eimi^® 2010-02-04 11:48:34 0
Ick, dziękuję. 3-4 dzień choroby, :/
IP: 83.10.188.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2) Gecko/20100114 Firefox/3.6
#7 something 2010-02-04 13:04:24 0
eimi, czy możesz odpowiedzieć czytelnikom na dwa pytania: czy można zamiast Flasha wziąć jakikolwiek inny program i obalić filary opisaną metodą? Czy użyteczność Flasha jako "narzędzia crackerskiego" wynika z błędów, które można wyeliminować?(czyli inaczej mówiąc: czy po ew. naprawieniu Flasha cała metoda pójdzie do kosza czy nie?)
IP: 89.174.38.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2) Gecko/20100114 Firefox/3.6
#8 Piraci 2010-02-04 15:22:14 0
A ja mam jeszcze takie pytanie, czy zabezpieczenia chrome są wstanie uniemożliwić ataku, w tekście skazuje się tylko na IE, a dziura działa poprzez flash więc nie wiem :P.
IP: 84.195.176.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.249.78 Safari/532.5
#9 dwarazy 2010-02-05 00:35:00 0
Flash jest użyty tylko do zaalokowania pamięci i wypełnienia jej shellkodem, a cały trick polega na przekazaniu sterowania programem na ten shellkod. Błąd powoduje 'wyskoczenie' przeglądarki z pamieci przeznaczonej na kod programu do jakiegoś losowego miejsca, i jeżeli tam znajduje się nasz 'rozpylony' shellkod (im go więcej tym większe prawdopodobieństwo 'trafienia'), to atak się udał. Zamiast flasha można użyć dowolnego sposobu zaalokowania pamięci.
IP: 77.253.221.[...] Opera/9.80 (Windows NT 5.1; U; pl) Presto/2.2.15 Version/10.10
#10 Gormar 2011-02-27 17:18:12 0
Widzę, że nie tylko do blokowania denerwujących reklam przydaje się Flashblock w FireFoxie :).
IP: 213.25.50.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.