Атака возврата в libc

Атака "return-to-libc" - это атака на компьютерную безопасность , которая обычно начинается с переполнения буфера , при которой адрес возврата подпрограммы в стеке вызовов заменяется адресом подпрограммы, которая уже присутствует в исполняемой памяти процесса , обходя функцию бита невыполнения (если она присутствует) и избавляя злоумышленника от необходимости внедрять свой собственный код. Первый пример этой атаки в дикой природе был предоставлен Александром Песляком в списке рассылки Bugtraq в 1997 году. ^[1]

В операционных системах, совместимых с POSIX, стандартная библиотека C (" ") обычно используется для предоставления стандартной среды выполнения для программ, написанных на языке программирования C. Хотя злоумышленник может заставить код вернуться в любое место, является наиболее вероятной целью, так как она почти всегда связана с программой и предоставляет полезные вызовы для злоумышленника (например, функцию, используемую для выполнения команд оболочки).libclibcsystem

Защита от атак типа «возврат в libc»

Неисполняемый стек может предотвратить некоторую эксплуатацию переполнения буфера, однако он не может предотвратить атаку return-to-libc, поскольку в атаке return-to-libc используется только существующий исполняемый код. С другой стороны, эти атаки могут вызывать только уже существующие функции. Защита от разрушения стека может предотвратить или воспрепятствовать эксплуатации, поскольку она может обнаружить повреждение стека и, возможно, сбросить скомпрометированный сегмент.

« Бронирование ASCII » — это метод, который можно использовать для предотвращения такого рода атак. При бронировании ASCII все адреса системных библиотек (например, libc) содержат байт NULL ( 0x00). Обычно это делается путем помещения их в первые 0x01010101байты памяти (несколько страниц более 16 МБ, называемые «областью бронирования ASCII»), поскольку каждый адрес до (но не включая) этого значения содержит по крайней мере один байт NULL. Это делает невозможным размещение кода, содержащего эти адреса, с помощью функций обработки строк, таких как strcpy(). Однако этот метод не работает, если у злоумышленника есть способ переполнить стек байтами NULL. Если программа слишком велика, чтобы поместиться в первые 16  МБ , защита может быть неполной. ^[2] Этот метод похож на другую атаку, известную как return-to-plt , где вместо возврата в libc злоумышленник использует функции таблицы связей процедур (PLT), загруженные в позиционно-независимый код (например, system@plt, execve@plt, sprintf@plt, strcpy@plt). ^[3]

Рандомизация адресного пространства (ASLR) делает этот тип атаки крайне маловероятным для успеха на 64-битных машинах , поскольку расположение функций в памяти является случайным. Однако для 32-битных систем ASLR дает мало преимуществ, поскольку для рандомизации доступно только 16 бит, и их можно преодолеть методом грубой силы за считанные минуты. ^[4]

Смотрите также

• Переполнение буфера
• Переполнение буфера стека
• Защита от разбивания стека
• Нет бита eXecute (NX)
• Рандомизация макета адресного пространства
• Программирование, ориентированное на возврат
• Гаджет (последовательность машинных инструкций)
• Непреднамеренные инструкции

Ссылки

1. Solar Designer (10 августа 1997 г.). «Bugtraq: Обход неисполняемого стека (и исправление)».
2. Дэвид А. Уилер (27 января 2004 г.). «Безопасный программист: Противодействие переполнению буфера». IBM DeveloperWorks. Архивировано из оригинала 2013-10-18.
3. Болезнь (13 мая 2011 г.). «Разработка эксплойта Linux, часть 4 — обход ASCII-брони + возврат к PLT» (PDF) .
4. Шачам, Х.; Пейдж, М.; Пфафф, Б.; Го, Э.Дж.; Модадугу, Н.; Бонех, Д. (октябрь 2004 г.). «Об эффективности рандомизации адресного пространства». Труды 11-й конференции ACM по компьютерной и коммуникационной безопасности (PDF) . стр. 298–307. doi :10.1145/1030083.1030124. ISBN 1-58113-961-6. S2CID  5864467.

Внешние ссылки

• Обход неисполняемого стека во время эксплуатации с помощью return-to-libc от c0ntex на css.csail.mit.edu