FERRAMENTAS LINUX: Um Fork de Detecção / Mitigação de Ataque Brute Force ainda está em trabalho para o Kernel Linux

domingo, 23 de maio de 2021

Um Fork de Detecção / Mitigação de Ataque Brute Force ainda está em trabalho para o Kernel Linux

 

Confira !!


Um módulo de segurança continua a ser trabalhado para ser capaz de detectar e mitigar contra fork / executar ataques de força bruta a sistemas Linux.

A última iteração de patches para fornecer mitigação de ataque de força bruta contra abuso de fork / exec foi enviada na sexta-feira. Esta sétima rodada nos patches retrabalha alguns de seus rastreamentos de dados estatísticos e outras melhorias. Veja o trabalho anterior neste Módulo de Segurança do Linux (LSM) coberto em Patches do Linux com o objetivo de fornecer atenuação de ataques do fork de Brute  Force.

John Wood, que começou a trabalhar nesses patches de mitigação de Kees Cook do Google, resume essa detecção / mitigação como:

Ataques contra aplicativos vulneráveis ​​do espaço do usuário com o objetivo de quebrar ASLR ou contornar canários tradicionalmente usam algum nível de força bruta com a ajuda da chamada de sistema fork. Isso é possível porque, ao criar um novo processo usando fork, seu conteúdo de memória é o mesmo do processo pai (o processo que chamou a chamada de sistema fork). Assim, o invasor pode testar a memória infinitas vezes para encontrar os valores de memória corretos ou os endereços de memória corretos sem se preocupar em travar o aplicativo.

Com base no cenário acima, seria bom ter isso detectado e mitigado, e esse é o objetivo desta série de patches. Especificamente, os seguintes ataques devem ser detectados:

1.- Lançar (fork () / exec ()) um processo setuid / setgid repetidamente até que um layout de memória desejável seja obtido (por exemplo, Stack Clash).

2.- Conectar-se a um daemon de rede exec () (por exemplo, xinetd) repetidamente até que um layout de memória desejável seja obtido (por exemplo, o que os CTFs fazem para um serviço de rede simples).

3.- Lançar processos sem exec () (por exemplo, Android Zygote) e expor o estado para atacar um irmão.

4.- Conectar-se a um daemon de rede fork () ing (por exemplo, apache) repetidamente até que o layout de memória compartilhada anteriormente de todos os outros filhos seja exposto (por exemplo, relacionado a HeartBleed).

Em cada caso, um limite de privilégio foi cruzado:

Caso 1: processo setuid / setgid

Caso 2: rede para local

Caso 3: alterações de privilégio

Caso 4: rede para local

Portanto, o que realmente será detectado são ataques de força bruta fork / exec que cruzam qualquer um dos limites comentados.

Aqueles que desejam saber mais sobre este Brute LSM pendente podem ver a série de patch v7 . A documentação vai bem em todos os detalhes técnicos interessantes sobre o LSM Brute para os interessados.





Fonte

Até a próxima !!





Nenhum comentário:

Postar um comentário