В процесорах Intel виявлена помилка, яка дозволяє обходити захист ASLR



Рандомізація адресного простору (Address Space Layout Randomization, скорочено ASLR) — це механізм забезпечення безпеки, вбудований в популярні операційні системи. Його суть зводиться до рандомізації віртуальних адрес пам'яті різних структур даних — вгадати розташування в пам'яті цільової структури складно передбачити, тому шанси на успішну атаку значно знижуються. Раніше у нашому блозі ми розповідали про пристрій ASLR на прикладі ОС Windows 8.

У середині жовтня 2016 року група американських дослідників інформаційної безпеки з Каліфорнійського (Ріверсайд) і Нью-Йоркського (Бинхемптон) університетів опубликовала опис техніки атаки, яка використовує для обходу ASLR помилку в процесорах Intel.

Дослідникам вдалося виявити помилку в роботі частини процесора Haswell, яка називається предиктор — використовуючи її розроблене ними додаток змогло передбачати розташування в пам'яті, в які інші програми будуть завантажувати дані.

Предиктор містить таблицю «буфер цільової гілки» (branch target buffer), в якій зберігаються розташування в пам'яті (так звані адреси) гілок. Сучасні процесори використовують предиктор гілок для прискорення операцій з допомогою — це досягається за рахунок того, що система може «пророкувати» адреси, де знаходяться інструкції, які скоро будуть виконані. Для полегшення процесу «передбачення» в буферах також зберігаються адреси раніше використаних гілок. Техніка атаки використовує колізію в таблиці цільових буферів — з її допомогою можна дізнатися ділянки пам'яті, де знаходяться конкретні шматки коду.

Таким чином, якщо атакуючий створить просте додаток, що використовує цей механізм обходу ASLR, яке буде працювати у зв'язці з эксплоитом який-небудь уразливості самої операційної системи, то це відкриє можливість віддаленого виконання шкідливого коду.

На думку дослідників, їх метод дозволяє однаково успішно обходити механізми ASLR, реалізовані як у Microsoft Windows так і в OS X від Apple. Зараз тривають експерименти з метою з'ясувати, чи працює нова техніка обходу ASLR на процесорах інших архітектур.

Дослідники представили розроблену ними техніку обходу ASLR на конференції IEEE/ACM International Symposium on Microarchitecture, що пройшла в місті Тайбей (Тайвань) — вони продемонстрували її на комп'ютері з процесором Haswell, що працює під управлінням останньої версії Linux.

Представники Intel заявили, що вони вивчають факти, представлені в дослідження.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.