Kontrol noktası (küresel bir BT güvenlik çözümleri sağlayıcısı) birkaç gün önce yayınlandı giriş güvenlik mekanizmasının "Güvenli Bağlama", o açıklardan yararlanmayı zorlaştırır malloc çağrısı yaparken ayrılmış tamponlara işaretçilerin tanımını veya değişikliğini işleyen.
Yeni «Güvenli Bağlama» mekanizması güvenlik açıklarından yararlanma olasılığını tamamen engellemez, ancak minimum ek yük ile belirli istismar kategorilerinin oluşturulmasını zorlaştırırKötüye kullanılan arabellek taşmasına ek olarak, bellekteki yığının konumu hakkında bilgiye neden olan başka bir güvenlik açığının bulunması gerekir.
Glibc (ptmalloc), uClibc-NG (dlmalloc), gperftools (tcmalloc) ve Google TCMalloc için Güvenli Bağlama uygulama yamalarının yanı sıra Chromium'da korumayı modernize etme önerisi hazırlandı (2012'den beri Chromium, aynı problem) MaskPtr koruma tekniği, ancak Checkpoint'in çözümü daha iyi performans gösterir).
Önerilen yamalar, Glibc 3.32'nin Ağustos sürümünde teslim edilmek üzere zaten onaylanmıştır ve Güvenli Bağlama varsayılan olarak etkinleştirilecektir. UClibc-NG'de, güvenli bağlantı desteği 1.0.33 sürümüne dahil edilmiştir ve varsayılan olarak etkindir. Gperftools'da (eski tcmalloc) değişiklikler kabul edilir, ancak gelecekteki bir sürümde bir seçenek olarak sunulacaktır.
TCMalloc geliştiricileri değişikliği kabul etmeyi reddetti, cgüçlü performans başarısı ve her şeyin düzgün çalıştığını düzenli olarak doğrulamak için gelişmiş testler ekleme ihtiyacı ile.
Tarafından yapılan testler Kontrol noktası mühendisleri, Güvenli Bağlama yönteminin ek bellek tüketimine yol açmadığını gösterdi ve yığın işlemlerini gerçekleştirirken ortalama performans yalnızca% 0.02 ve en kötü durumda% 1.5 azalır
Güvenli Bağlantının etkinleştirilmesi, her bir serbest çağrıyla () 2-3 ek montaj talimatının ve malloc () çağrılırken 3-4 talimatın yürütülmesini sağlar. Başlatma başlangıcı ve rastgele değer oluşturma gerekli değildir.
Safe-Linking yalnızca güvenliği artırmak için kullanılamaz çeşitli yığın uygulamalarınınAyrıca herhangi bir veri yapısına bütünlük kontrolleri eklemek için tamponların yanında bulunan ayrı ayrı bağlanmış işaretçilerin bir listesini kullanır.
Yöntem uygulaması çok basittir ve yalnızca bir makro eklemeyi gerektirir ve kodun sonraki bloğuna işaretçiler için uygulayın (örneğin, Glibc için kodda yalnızca birkaç satır değiştirilir).
Yöntemin özü, Fast-Bins ve TCache gibi ayrı ayrı bağlı listeleri korumak için ASLR adres randomizasyon mekanizmasından (mmap_base) rastgele verileri uygulamaktır. İşaretçi değerini listedeki sonraki öğeye uygulamadan önce, bellek sayfasının kenarı boyunca maske dönüştürme ve hizalama kontrolü gerçekleştirilir. İşaretçi, "(L >> SAYFA_KAYIT) XOR (P)" işleminin sonucu ile değiştirilir, burada P, işaretçinin değeridir ve L, bu işaretçinin depolandığı bellekteki konumdur.
ASLR (Address Space Layout Randomization) sisteminde kullanıldığında, yığının temel adresli L bitlerinden bazıları P'yi kodlamak için anahtar olarak kullanılan rastgele değerler içerir (12 için 4096 bit ile çıkarılırlar) bayt sayfaları).
Böyle bir manipülasyon bir istismarda işaretçi yakalama riskini azaltır, İşaretçi orijinal biçiminde saklanmadığından ve onu değiştirmek için yığının konumu hakkında bilgi sahibi olmanız gerekir.
Yöntem, kısmi işaretçi yeniden tanımlaması kullanan saldırılara karşı korumada etkilidir (düşük bayt kayması), işaretçilerin tamamen yeniden yazılması (saldırganın koduna yönlendirin) ve listenin konumunu hizasız bir yönde değiştirin.
Örnek olarak, Malloc'ta Safe-Linking kullanımının, Philips Hue Bridge akıllı arka aydınlatmasında aynı araştırmacılar tarafından yakın zamanda keşfedilen CVE-2020-6007 güvenlik açığından yararlanılmasını engelleyeceği ve arabellek taşmasının neden olduğu ve kontrol edilmesine izin vereceği gösterilmiştir. cihaz.
kaynak: https://research.checkpoint.com