Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Информация
titleДанная статья применима к:


Введение

В статье рассматривается механизм защиты от исполнения кода, размещенного в области стека программ (далее — механизм защиты). В Astra Linux Special Edition механизм включен начиная со следующих обновлений:

Защита от техник по MITRE

В соответствии с базой атак MITRE, Механизм обеспечивает защиту от следующих техник:

T1055.009Внедрение в процесс. Процессная памятьT1055.014Внедрение в процесс. Захват VDSO

Термины

Эксплойт (англ. exploit, эксплуатировать) — программный код, использующий уязвимости в программном обеспечении и применяемый для проведения атаки на информационную систему.

Show If
useralevdonsky

Шелл-код (англ. shellcode, код запуска оболочки) — двоичный исполняемый код, передающий управление командной оболочке (англ. shell), например '/bin/sh', в том числе может открывать заранее заданный порт TCP (англ. port binding shellcode) или осуществляет подключение к порту атакующего компьютера (англ. reverse shell shellcode). Шелл-код может быть использован как полезная нагрузка эксплойта.

Пример эксплойта:
https://stackoverflow.com/questions/53346274/exactly-what-cases-does-the-gcc-execstack-flag-allow-and-how-does-it-enforce-it


Предупреждаемые вектора атак

Переполнение

Предупреждаемые вектора атак

Атака на переполнение

буфера

При данной атаке атакующий использует ошибку в программе, когда при записи в буфер данных, находящихся в стеке, не проверяется (или неправильно проверяется) размер записываемых данных, полученных от пользователя. Если размер записываемых данных превышает размер буфера, то лишние данные попадают в область памяти, предназначенную для других локальных переменных, а также могут перезаписать адрес возврата из функции. Если адрес возврата оказывается перезаписан, то при возврате управление будет передано по вновь записанному адресу.

В самой простой версии атаки на переполнение буфера атакующий помещает код («полезную нагрузку») При реализации атаки атакующий, помещая эксплойт в стек, а затем перезаписывает адрес возврата адресом только что записанных им инструкций.и параметры вызова адресом имеющегося в коде программы системного вызова mprotect() для разрешения исполнения кода, содержащегося в эксплойте, после чего управление передается эксплойту

Действие механизма защиты

Включенный механизм защиты делает невозможным выполнение из разделяемых библиотек данных При включенном предотвращении выполнения данных, машина откажется выполнять код на страницах памяти, помеченных «только для данных», включая страницы, содержащие стек. Это не предотвратит размещение полезной нагрузки в стекеэксплойта, но не позволит перейти на неё, перезаписав адрес возврата.

Атака возврата в библиотеку 

Один из видов атак, когда адрес возврата функции в стеке подменяется адресом иной функции в программе, и в последующую часть стека записываются параметры для вызываемой функции. Эта техника позволяет нападающему выполнить какую-либо существующую функцию без необходимости внедрять вредоносный код в программу.

В Astra Linux имеется разделяемая библиотека libc, предоставляющая стандартные функции языка Си и стандарта POSIX. Эту библиотеку использует большинство программ. Атакующий может заставить программу совершить переход по любому адресу, но функции стандартной библиотеки являются наиболее вероятной целью подобных атак, например, функция system() для выполнения произвольных программ..

Стек с защитой от исполнения лишь частично закрывает данный тип атак, препятствуя запуску произвольного интерпретируемого кода (например, сценариев bash). Однако вероятность запуска уже существующих легитимных функций остаётсяустановить разрешение исполнения кода эксплойта.

Управление механизмом защиты

Механизм защиты управляется параметром parsec.execstack в в командной строке загрузчика с допустимыми значениями:

  • 0 — включить механизм защиты от исполнения областей памяти на стеке (используется по умолчанию);
  • 1 — выключить механизм защиты от исполнения областей памяти на стеке.

При срабатывании механизма запись об ошибке регистрируется в системных журналах:

cannot enable executable stack as shared object requires: Permission denied

Известные проблемы

Порядок отключения механизма защиты см. в статье Нарушение работы некоторых программ после установки оперативного обновления Astra Linux Special Edition 1.7.6

Особенности работы механизма защиты

Включение механизма защиты Включение механизма защиты от исполнения областей памяти на стеке может привести к отказу прикладного ПО, использующего исполняемый стек в своей работе. При этом могут выдаваться сообщения "Недостаточно прав" ("Permission denied"), например: 

cannot enable executable stack as shared object requires: Permission denied

В случае выявления такого ПО следует:

  • по возможности исключить такое ПО из эксплуатации;
  • обратиться к производителю ПО с рекомендацией внести изменения в реализацию, чтобы избежать:
    • отказа в обслуживании собственного ПО на ОС Astra Linux при включённом механизме защиты от исполнения областей памяти на стеке;
    • организации возможностей для эксплуатации уязвимостей в собственном ПО.

Рекомендации для разработки прикладного ПО под Astra Linux

При разработке прикладного ПО, предназначенного для работы в Astra Linux следует:

исключить использование параметра компиляции -z execstack. Этот параметр компилятора передается компоновщику программ и означает, что инструкции, расположенные в стеке, могут быть выполнены. Такое поведение считается допустимым для некоторых архитектур и может использоваться в целях оптимизации.

См. Нарушение работы некоторых программ после установки оперативного обновления Astra Linux Special Edition 1.7.6