Confira !!
Um módulo de segurança continua a ser trabalhado para ser capaz de detectar e mitigar contra fork / executar ataques de força bruta a sistemas Linux.
A última iteração de patches para fornecer mitigação de ataque de força bruta contra abuso de fork / exec foi enviada na sexta-feira. Esta sétima rodada nos patches retrabalha alguns de seus rastreamentos de dados estatísticos e outras melhorias. Veja o trabalho anterior neste Módulo de Segurança do Linux (LSM) coberto em Patches do Linux com o objetivo de fornecer atenuação de ataques do fork de Brute Force.
John Wood, que começou a trabalhar nesses patches de mitigação de Kees Cook do Google, resume essa detecção / mitigação como:
Ataques contra aplicativos vulneráveis do espaço do usuário com o objetivo de quebrar ASLR ou contornar canários tradicionalmente usam algum nível de força bruta com a ajuda da chamada de sistema fork. Isso é possível porque, ao criar um novo processo usando fork, seu conteúdo de memória é o mesmo do processo pai (o processo que chamou a chamada de sistema fork). Assim, o invasor pode testar a memória infinitas vezes para encontrar os valores de memória corretos ou os endereços de memória corretos sem se preocupar em travar o aplicativo.
Com base no cenário acima, seria bom ter isso detectado e mitigado, e esse é o objetivo desta série de patches. Especificamente, os seguintes ataques devem ser detectados:
1.- Lançar (fork () / exec ()) um processo setuid / setgid repetidamente até que um layout de memória desejável seja obtido (por exemplo, Stack Clash).
2.- Conectar-se a um daemon de rede exec () (por exemplo, xinetd) repetidamente até que um layout de memória desejável seja obtido (por exemplo, o que os CTFs fazem para um serviço de rede simples).
3.- Lançar processos sem exec () (por exemplo, Android Zygote) e expor o estado para atacar um irmão.
4.- Conectar-se a um daemon de rede fork () ing (por exemplo, apache) repetidamente até que o layout de memória compartilhada anteriormente de todos os outros filhos seja exposto (por exemplo, relacionado a HeartBleed).
Em cada caso, um limite de privilégio foi cruzado:
Caso 1: processo setuid / setgid
Caso 2: rede para local
Caso 3: alterações de privilégio
Caso 4: rede para local
Portanto, o que realmente será detectado são ataques de força bruta fork / exec que cruzam qualquer um dos limites comentados.
Aqueles que desejam saber mais sobre este Brute LSM pendente podem ver a série de patch v7 . A documentação vai bem em todos os detalhes técnicos interessantes sobre o LSM Brute para os interessados.
Até a próxima !!
Nenhum comentário:
Postar um comentário