La protezione dai memory error exploit

Transcript

1 Università degli Studi di Milano

2 Sommario Introduzione 1 Stack Guard Terminator Canaries Random Canaries 2 3

3 Buffer Overflow Stack Guard Introduzione Buffer Overflow Condizione anomala. Memorizzazione di dati su buffer oltre i limiti della sua capienza. Sovrascrittura dati adiacenti.

4 Buffer Overflow [2] Introduzione Buffer Overflow [2] In determinate condizioni è possibile: Indurre un crash dell applicazione. Modificarne il comportamento. Forzare l esecuzione di codice arbitrario.

5 Indurre crash Stack Guard Introduzione Esempio #i n c l u d e <s t d i o. h> #i n c l u d e <s t r i n g. h> i n t f o o ( char i n ) { char buf [ ] ; s t r c p y ( buf, i n ) ; } r e t u r n 0 ; i n t main ( i n t argc, char a r g v ) { r e t u r n f o o ( a r g v [ 1 ] ) ; }

6 Layout stack Stack Guard Introduzione a0 <main>: <...> 80483b5: call <foo> 80483ba: leave 80483bb: ret <foo>: : push %ebp : mov %esp,%ebp : sub $0x218,%esp : mov 0x8(%ebp),%eax c: mov %eax,0x4(%esp) : lea -0x208(%ebp),%eax : mov %eax,(%esp) : call 80482b e: leave f: xor %eax,%eax : ret return address frame pointer buffer

7 Modificarne il comportamento Introduzione esempio [2] #i n c l u d e <s t d i o. h> #i n c l u d e <s t d l i b. h> i n t c h e c k u s e r ( v o i d ) { r e t u r n 0 ; } i n t main ( i n t argc, char a r g v ) { i n t admin ; char buf [ ] ; } admin=check user ( ) ; s t r c p y ( buf, a r g v [ 1 ] ) ; i f ( admin == 1) system ( / b i n / sh ) ; e l s e r e t u r n 0 ;

8 Eseguire codice arbitrario Introduzione Tipico payload nop sled. shellcode. retaddress. <nop><nop><nop>... <shellcode><ret><ret><ret>..

9 Canarini Stack Guard Terminator Canaries Random Canaries Canarini Miniere di carbone fine 800 Evitare stragi in miniera sentono prima degli uomini le fughe di gas

10 Canarini digitali [1] Terminator Canaries Random Canaries #i n c l u d e <s t d i o. h> #i n c l u d e <s t d l i b. h> i n t main ( i n t argc, char a r g v ) { i n t c a n a r y ; canary = 0 x ; char buf [ ] ; s t r c p y ( buf, a r g v [ 1 ] ) ; i f ( canary!= 0x ) e x i t ( EXIT FAILURE ) ; } r e t u r n 0 ;

11 Canarini digitali [2] Terminator Canaries Random Canaries #i n c l u d e <s t d i o. h> #i n c l u d e <s t d l i b. h> i n t main ( i n t argc, char a r g v ) { i n t c a n a r y ; canary = 0 x ; char buf [ ] ; s t r c p y ( buf, a r g v [ 1 ] ) ; i f ( canary!= 0x ) e x i t ( EXIT FAILURE ) ; } r e t u r n 0 ;

12 Canarini digitali [3] Terminator Canaries Random Canaries #i n c l u d e <s t d i o. h> #i n c l u d e <s t d l i b. h> i n t main ( i n t argc, char a r g v ) { i n t c a n a r y ; canary = 0 x ; char buf [ ] ; g e t s ( buf ) ; i f ( canary!= 0x ) e x i t ( EXIT FAILURE ) ; } r e t u r n 0 ;

13 scelta dei canarini Stack Guard Terminator Canaries Random Canaries valore del canarino ostacolo agli exploit maggior numero di funzioni bloccate strcpy, gets,... terminator canary: 0x000aff0d

14 prologo ed epilogo Stack Guard Terminator Canaries Random Canaries prologo b <foo>: b: push $0x000aff0d : push %ebp : mov %esp,%ebp return address canary frame pointer epilogo : call 80482b e: leave f: cmpl $0x000aff0d, (%esp) : jne canary_changed : xor %eax,%eax a: ret buffer

15 Terminator canaries: problemi Terminator Canaries Random Canaries problemi canarino noto non blocca tutte le funzioni (read) frame pointer non protetto variabili locali non protette finestra di codice in cui agire

16 canarini random Stack Guard Terminator Canaries Random Canaries canarini random variabile globale inizializzata all avvio del processo xor con return address difficile da ricavare (a meno di casi particolari)

17 Random canaries: problemi Terminator Canaries Random Canaries risolvono: canarino noto non blocca tutte le funzioni (read) non risolvono: frame pointer non protetto variabili locali non protette finestra di codice in cui agire

18 esempio: Stack Guard Terminator Canaries Random Canaries codice vulnerabile int func(char *msg) { char buf[80]; } strcpy(buf, msg);... strcpy(msg, buf);

19 esempio: Stack Guard Terminator Canaries Random Canaries codice vulnerabile [2] #include <stdio.h> #include <string.h> void bar(void) { printf("hello World!\n"); } int foo(char *in) { volatile int canary; void (*f)(void); char buf[512]; canary = 0x000aff0d; f = bar; strcpy(buf, in); f(); if(canary!= 0x000aff0d) { printf("smash detected!\n"); exit(0); } return 0; } int main(int argc, char **argv) { return foo(argv[1]); }

20 Pro police (SSP) Pro police (SSP) Hiroaki Etoh (IBM, 2000) canarini random controllo piu granulare riordinamento variabili integrato in gcc 4

21 riordinamento variabili riordinamento variabili canarini posti dopo frame pointer array e strutture contenenti array posti in alto restanti variabili locali appena sotto gli array controllo canarini piu granulare

22 SSP layout SSP layout overflow non influenzano var locali frame pointer protetto ret addr protetto parametri protetti check dei canarini dopo operazioni su array parametri retaddr frame pointer canary arrays local vars

23 ASLR Stack Guard ASLR obiettivi: complicare lavoro attaccante difetti: indirizzi di shellcode difficili da indovinare overhead limitato non tutto e randomizzabile (plt e testo)

24 ASLR Stack Guard cosa si randomizza posizione dello stack posizione dello heap indirizzo di rilocazione librerie

25 Problemi risolti e non: Problemi risolti: esecuzione shellcode su stack o heap modifica GOT piu difficile (ret to libc) Non risolti: ret to libc ancora possibile non control data attacks format bugs