Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Новая атака BlindSide позволяет обходить ASLR

15/09/20

hack73-Sep-15-2020-10-20-33-38-AMМеждународная группа ученых разработала новую технику атаки на защищенные системы с использованием механизма спекулятивного выполнения. По словам ученых, атака, получившая название BlindSide, может использоваться для создания эксплоитов, способных обходить ASLR.

Адресные пространства памяти очень важны для атакующих. Зная, в какой области памяти выполняется приложение, они могут настроить эксплоиты таким образом, чтобы атаковать конкретное приложение и похитить конфиденциальную информацию.

ASLR представляет собой технологию, применяемую в операционных системах для защиты от вышеупомянутых атак. ASLR случайным образом меняет место выполнения приложения в адресном пространстве и таким образом нейтрализует атаки.

Как правило, для обхода ASLR злоумышленник должен найти уязвимость раскрытия информации, способную привести к утечке участков памяти. Атакующий также может исследовать память в поисках места, где запускается другое приложение, а затем изменить его код для атаки на это адресное пространство памяти. Однако на практике данные методы сложно реализовать, особенно второй, который часто приводит к сбоям системы или к обнаружению атаки. Разработанная учеными техника BlindSide переводит атаку в сферу спекулятивного выполнения и позволяет обойти ASLR.

Спекулятивное выполнение – метод оптимизации, при котором процессор заблаговременно выполняет задачи, которые могут понадобиться в дальнейшем. Эти заблаговременные операции выполняются параллельно с основным вычислительным потоком.

Когда основной поток центрального процессора доходит до определенной точки, механизм спекулятивного выполнения позволяет ему выбрать уже вычисленное значение и перейти к следующей задаче, благодаря чему вычислительные операции проходят гораздо быстрее. Однако, по словам ученых, механизм спекулятивного выполнения может также существенно повысить опасность распространенных уязвимостей в ПО (например, уязвимостей повреждения памяти) с помощью так называемого спекулятивного зондирования.

BlindSide позволяет снова и снова эксплуатировать уязвимость в приложении в области спекулятивного выполнения, многократно проверяя память, пока не удастся обойти ASLR. Поскольку атака происходит в области спекулятивного выполнения, все неудачные проверки и сбои не влияют на ЦП или его стабильность. Все что нужно злоумышленнику, - простая уязвимость повреждения памяти, которую можно проэксплуатировать.

Как пояснили ученые, BlindSide позволяет атакующему не беспокоиться по поводу ASLR. Атака не зависит от архитектуры и работает на процессорах как Intel, так и AMD.

Темы:процессорыУгрозыуниверситетские исследованияASLR
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...