在過(guò)去 30 年中,緩沖區(qū)溢出一直是網(wǎng)絡(luò)傳播攻擊中最常被利用的漏洞??紤]到緩沖區(qū)的創(chuàng)建方式,這并不奇怪。
下面是 C 中的一個(gè)示例:
第 1 步。程序員使用 malloc 函數(shù)并定義緩沖區(qū)內(nèi)存量(例如 32 字節(jié))
第 2 步。返回一個(gè)指針,指示內(nèi)存中緩沖區(qū)的開頭
第 3 步。程序員在需要讀取或?qū)懭朐摼彌_區(qū)時(shí)(僅)使用指針作為引用
有了指針,程序員很容易忘記分配給給定緩沖區(qū)的實(shí)際內(nèi)存量。編譯器在組裝過(guò)程中使用元數(shù)據(jù)來(lái)分配適當(dāng)?shù)木彌_區(qū)大小,但此元數(shù)據(jù)通常在生成時(shí)丟棄以減少占用空間。
如果在程序內(nèi)部或程序之間傳輸?shù)臄?shù)據(jù)隨后超過(guò)最初定義的緩沖區(qū)大小,則該數(shù)據(jù)信息將覆蓋相鄰內(nèi)存。這可能會(huì)導(dǎo)致內(nèi)存訪問(wèn)錯(cuò)誤或崩潰,以及安全漏洞。
緩沖區(qū)溢出和漏洞利用
黑客可以使用堆棧緩沖區(qū)溢出將可執(zhí)行文件替換為惡意代碼,從而使他們能夠利用堆內(nèi)存或調(diào)用堆棧本身等系統(tǒng)資源。例如,控制流劫持利用堆棧緩沖區(qū)溢出將代碼執(zhí)行重定向到正常操作中使用的位置以外的位置。
一旦負(fù)責(zé)控制流,控制流劫持者就可以修改指針并重用現(xiàn)有代碼,同時(shí)還可能替換代碼。控制流的命令還允許攻擊者修改指針,以用于間接調(diào)用、跳轉(zhuǎn)和函數(shù)返回,從而留下有效的圖形以向防御者隱藏其操作。
盡管動(dòng)態(tài)地址空間布局隨機(jī)化 (ASLR) 機(jī)制和堆棧金絲雀用于在代碼執(zhí)行發(fā)生之前檢測(cè)和防止緩沖區(qū)溢出,但此類威脅仍然是一個(gè)挑戰(zhàn)。
安全性:軟件還是芯片?
ASLR 和堆棧金絲雀是基于軟件的緩沖區(qū)溢出保護(hù)機(jī)制,確實(shí)使攻擊者更難利用緩沖區(qū)溢出。例如,ASLR 動(dòng)態(tài)重新定位內(nèi)存區(qū)域,以便黑客有效地猜測(cè)目標(biāo)組件(如基本可執(zhí)行文件、庫(kù)以及堆棧和堆內(nèi)存)的地址空間。不幸的是,最近的漏洞(如Spectre和Meltdown)泄漏了CPU分支預(yù)測(cè)器的信息,由于顯而易見(jiàn)的原因,這限制了ASLR的有效性。
另一方面,堆棧金絲雀在內(nèi)存中的返回指針之前插入小整數(shù)。在例程可以使用相應(yīng)的返回指針之前,將檢查這些整數(shù)以確保它們未更改。盡管如此,如果黑客確定包含正確的金絲雀值,他們還是有可能讀取金絲雀并簡(jiǎn)單地覆蓋它和隨后的緩沖區(qū)而不會(huì)發(fā)生任何事件。此外,雖然 Canary 保護(hù)控件數(shù)據(jù)不被更改,但它們不保護(hù)指針或任何其他數(shù)據(jù)。
當(dāng)然,基于軟件的安全解決方案的另一個(gè)挑戰(zhàn)是它們極易受到錯(cuò)誤的影響。據(jù)估計(jì),每 1,000 行代碼存在 15-50 個(gè)錯(cuò)誤,這意味著解決方案中存在的軟件越多,漏洞的數(shù)量就越多。
在解決疾病而不是緩沖區(qū)溢出的癥狀時(shí),更強(qiáng)大的方法是在硅中實(shí)現(xiàn)安全性 - 雖然堆棧緩沖區(qū)溢出漏洞旨在操縱軟件程序,但解決此類攻擊的根本原因首先要意識(shí)到處理器無(wú)法確定給定程序是否正在正確執(zhí)行。
除了減輕軟件錯(cuò)誤的影響之外,硅不能遠(yuǎn)程更改。但是,必須對(duì)處理器或硅IP進(jìn)行編程,以便在運(yùn)行時(shí)識(shí)別嘗試寫入內(nèi)存或外設(shè)的指令是執(zhí)行合法操作還是非法操作。
Dover Microsystems開發(fā)了一種名為CoreGuard的技術(shù)。
運(yùn)行時(shí)的芯片安全性
CoreGuard是一種硅IP,可以與RISC處理器架構(gòu)集成,以在運(yùn)行時(shí)識(shí)別無(wú)效指令。該解決方案以 RTL 形式提供,可以針對(duì)各種功耗和面積要求進(jìn)行優(yōu)化,也可以進(jìn)行修改以支持自定義處理器擴(kuò)展。
如圖 2 所示,CoreGuard 架構(gòu)包括一個(gè)硬件互鎖,用于控制主機(jī)處理器與系統(tǒng)其余部分之間的所有通信。硬件互鎖將這些通信匯集到策略實(shí)施器中。
另外,CoreGuard 使用稱為微策略的可更新安全規(guī)則,這些規(guī)則是用高級(jí)專有語(yǔ)言創(chuàng)建的簡(jiǎn)單管理策略。這些規(guī)則安裝在與其他操作系統(tǒng)或應(yīng)用程序代碼隔離的安全、無(wú)法訪問(wèn)的內(nèi)存區(qū)域中。CoreGuard 還在此處為通常由編譯器丟棄的應(yīng)用程序元數(shù)據(jù)保留少量?jī)?nèi)存分配,用于為系統(tǒng)中的所有數(shù)據(jù)和指令生成唯一標(biāo)識(shí)符。這些組件在系統(tǒng)引導(dǎo)時(shí)加載。
當(dāng)指令嘗試在運(yùn)行時(shí)執(zhí)行時(shí),在特權(quán)模式下運(yùn)行的 CoreGuard 策略執(zhí)行核心或主機(jī)處理器會(huì)根據(jù)定義的微策略交叉引用指令的元數(shù)據(jù)。硬件聯(lián)鎖確保處理器僅向內(nèi)存或外設(shè)輸出有效指令,從而防止無(wú)效代碼完全執(zhí)行。應(yīng)用程序會(huì)收到類似于被零除錯(cuò)誤的策略沖突通知,并通知用戶。
與主機(jī)處理器集成以支持指令跟蹤輸出、失速輸入、不可屏蔽中斷 (NMI) 輸入和中斷輸出所需的一切。對(duì)于非芯片設(shè)計(jì)人員,Dover Microsystems最近宣布其CoreGuard技術(shù)正在設(shè)計(jì)用于某些NXP處理器。
消除各類攻擊
在緩沖區(qū)溢出的情況下,像CoreGuard這樣的技術(shù)的好處是顯而易見(jiàn)的??梢院喜⒆鳛榻?jīng)常丟棄的編譯器元數(shù)據(jù)的一部分捕獲的緩沖區(qū)大小,以限制攻擊者從整個(gè)網(wǎng)絡(luò)操縱系統(tǒng)堆棧的能力。更進(jìn)一步,相同的原則可以應(yīng)用于一般的控制流劫持,因?yàn)閺膬?nèi)存中各個(gè)點(diǎn)返回可以在它們發(fā)生之前受到限制。
在實(shí)踐中,這種實(shí)時(shí)感知也為安全行業(yè)創(chuàng)造了新的競(jìng)爭(zhēng)環(huán)境。通過(guò)能夠在損壞發(fā)生之前識(shí)別錯(cuò)誤或攻擊,用戶可以選擇動(dòng)態(tài)重新分配內(nèi)存,切換到單獨(dú)的,更安全的程序或記錄事件,同時(shí)繼續(xù)運(yùn)行相同的程序。如何進(jìn)行完全取決于應(yīng)用程序或業(yè)務(wù)案例的需求。
我們是否看到了零日漏洞的終結(jié)?只有時(shí)間會(huì)證明一切,但似乎我們走在正確的道路上。
審核編輯:郭婷
-
cpu
+關(guān)注
關(guān)注
68文章
10896瀏覽量
212512 -
物聯(lián)網(wǎng)
+關(guān)注
關(guān)注
2912文章
44855瀏覽量
375471
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論