Техника обхода SMEP-защиты при эксплуатации уязвимостей ядра Linux

В ядре Linux 3.0 была представлена поддержка режима SMEP (Supervisor Mode Execution Protection), присутствующего в процессорах Intel на базе архитектуры Ivy Bridge. Использование SMEP не даёт переходить из режима ядра к выполнению кода, находящегося на пользовательском уровне, что позволяет блокировать эксплуатацию многих уязвимостей в ядре Linux (shell-код не будет выполнен, так как он находится в пространстве пользователя). Один из исследователей безопасности опубликовал интересный способ эксплуатации уязвимостей в ядре в обход защиты SMEP (существуют и другие пути обхода SMEP, но данный метод заслуживает внимания в силу своей оригинальности).

Метод построен на основе организации подстановки последовательности инструкций в исполняемую область JIT-компилятора (например, подсистемы BPF), генерирующего код на основе входных данных, которые могут контролироваться атакующим. Так как JIT-компилятор контролирует генерацию кода, так просто подставить инструкции не получится. Но можно воспользоваться тем, что входящие данные используются в качестве аргументов генерируемых инструкций. Например, для входных данных "$0xa8XXYYZZ" и "$0xa8PPQQRR" будет сгенерирован код:

   b8 ZZ YY XX a8  mov $0xa8XXYYZZ, %eax   b8 RR QQ PP a8  mov $0xa8PPQQRR, %eax   b8 ... 

При передаче управления с однобайтовым смещением будет выполнена не инструкция mov, а машинный код "ZZ YY XX". При этом хвост с указанием регистра %eax будет обработан как ничего не значащая команда test с аргументом из кода команды mov:

   ZZ YY XX     (подконтрольные атакующему инструкции)   a8 b8       test $0xb8, %al   RR QQ PP     (подконтрольные атакующему инструкции)   a8 b8       test $0xb8, %al 

Таким образом у злоумышленника появляется возможность формирования произвольной последовательности трёхбайтовых команд, выполняемой в пространстве ядра. При эксплуатации уязвимости, управление может быть передано на данные команды, вместо запуска shell-кода из пространства пользователя.

Источник:
http://www.opennet.ru/opennews/art.shtml?num=35375

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>