Исполняемая защита пространства - Executable space protection - Wikipedia

В компьютерная безопасность, защита исполняемого пространства Метки объем памяти регионы как неисполняемые, так что попытка выполнить Машинный код в этих регионах вызовет исключение. Он использует такие аппаратные функции, как Бит NX (бит без выполнения) или, в некоторых случаях, программная эмуляция этих функций. Однако технологии, которые каким-то образом имитируют или предоставляют бит NX, обычно накладывают измеримые накладные расходы; в то время как использование аппаратного бита NX не требует измеримых накладных расходов.

В Берроуз 5000 предложила аппаратную поддержку для защиты исполняемого пространства после его внедрения в 1961 году; эта возможность оставалась у его преемников по крайней мере до 2006 года. помеченная архитектура, с каждым словом памяти связан бит скрытого тега, обозначающий его код или данные. Таким образом, пользовательские программы не могут записывать или даже читать программные слова, а слова данных не могут быть выполнены.

Если Операционная система может пометить некоторые или все доступные для записи области памяти как неисполняемые, это может предотвратить куча и куча области памяти не являются исполняемыми. Это помогает предотвратить определенные переполнение буфера подвиги от успеха, особенно те, которые вводят и выполняют код, например Сассер и Blaster черви. Эти атаки полагаются на то, что некоторая часть памяти, обычно стек, является как записываемой, так и исполняемой; в противном случае атака не удалась.

Реализации ОС

Многие операционные системы реализуют или имеют доступную политику защиты пространства исполняемых файлов. Вот список таких систем в алфавитном порядке, в каждой из которых технологии упорядочены от новейшей до самой старой.

Для некоторых технологий приводится сводка, в которой указаны основные функции, поддерживаемые каждой технологией. Резюме структурировано, как показано ниже.

  • Поддерживаемые аппаратные средства процессоры: (список архитектур ЦП, разделенных запятыми)
  • Эмуляция: (Нет) или (Независимая от архитектуры) или (Список архитектур ЦП, разделенных запятыми)
  • Другое Поддерживается: (Нет) или (Список архитектур ЦП, разделенных запятыми)
  • Стандартное распространение: (Нет) или (Да) или (Разделенный запятыми список дистрибутивов или версий, поддерживающих данную технологию)
  • Дата выпуска: (Дата первого выпуска)

Технология, обеспечивающая независимость от архитектуры подражание будет работать на всех процессорах, которые не поддерживаются оборудованием. Строка «Other Supported» предназначена для процессоров, которые допускают некоторый метод серой области, где явный бит NX не существует, но аппаратное обеспечение позволяет каким-то образом эмулировать его.

Android

По состоянию на Android 2.3 и новее, архитектуры, которые его поддерживают, по умолчанию имеют неисполняемые страницы, включая неисполняемый стек и кучу.[1][2][3]

FreeBSD

Первоначальная поддержка Бит NX, на x86-64 и IA-32 процессоры, которые его поддерживают, впервые появились в FreeBSD -CURRENT от 8 июня 2004 г. Он присутствует в выпусках FreeBSD с момента выпуска 5.3.

Linux

В Ядро Linux поддерживает бит NX на x86-64 и IA-32 процессоры, которые его поддерживают, такие как современные 64-разрядные процессоры AMD, Intel, Transmeta и VIA. Поддержка этой функции в 64-битном режиме на процессорах x86-64 была добавлена ​​в 2004 г. Энди Клин, а позже в том же году Инго Мольнар добавлена ​​поддержка его в 32-битном режиме на 64-битных процессорах. Эти функции были частью Основная линия ядра Linux с момента выпуска ядра версии 2.6.8 в августе 2004 года.[4]

Наличие бита NX в 32-битных ядрах x86, которые могут работать как на 32-битных процессорах x86, так и на 64-битных процессорах, совместимых с IA-32, имеет большое значение, поскольку 32-битное ядро ​​x86 обычно не ожидает бит NX. что AMD64 или же IA-64 запасы; патч активатора NX гарантирует, что эти ядра попытаются использовать бит NX, если он присутствует.

Некоторый рабочий стол Дистрибутивы Linux, Такие как Fedora, Ubuntu и openSUSE, не включайте параметр HIGHMEM64 по умолчанию в их ядрах по умолчанию, который требуется для получения доступа к биту NX в 32-битном режиме, потому что PAE режим, который необходим для использования бита NX, вызывает сбои загрузки на предварительномPentium Pro (включая Pentium MMX) и Celeron M и Pentium M процессоры без поддержки NX. Другие процессоры, не поддерживающие PAE: AMD K6 и раньше, Трансмета Крузо, ЧЕРЕЗ C3 и раньше, и Жеода GX и LX. VMware Workstation версии старше 4.0, Parallels Workstation версии старше 4.0 и Виртуальный ПК Microsoft и Виртуальный сервер не поддерживайте PAE на гостевой системе. Fedora Core 6 и Ubuntu 9.10 и более поздние версии предоставляют пакет kernel-PAE, который поддерживает PAE и NX.

Защита памяти NX всегда была доступна в Ubuntu для любых систем, которые имели оборудование для ее поддержки и работали с 64-битным ядром или 32-битным серверным ядром. 32-разрядное ядро ​​рабочего стола PAE (linux-image-generic-pae) в Ubuntu 9.10 и более поздних версиях также предоставляет режим PAE, необходимый для оборудования с функцией ЦП NX. Для систем, в которых отсутствует оборудование NX, 32-разрядные ядра теперь обеспечивают приближение функции ЦП NX с помощью программной эмуляции, которая может помочь заблокировать многие эксплойты, которые злоумышленник может запустить из памяти стека или кучи.

Функциональность невыполнения также присутствовала для других процессоров, отличных от x86, поддерживающих эту функциональность во многих выпусках.

Exec Shield

Красная шляпа разработчик ядра Инго Мольнар выпустила патч ядра Linux под названием Exec Shield приблизить и использовать функциональность NX на 32-битный процессоры x86. Патч Exec Shield был выпущен для Список рассылки ядра Linux 2 мая 2003 г., но был отклонен из-за слияния с базовым ядром, поскольку в него были внесены некоторые навязчивые изменения в коде ядра для обработки сложных частей эмуляции. Устаревшая поддержка ЦП в Exec Shield приближается к эмуляции NX, отслеживая верхний предел сегмента кода. Это накладывает лишь несколько циклов накладных расходов во время переключения контекста, что для всех намерений и целей неизмеримо. Для устаревших процессоров без бита NX Exec Shield не может защитить страницы ниже предела сегмента кода; вызов mprotect () для отметки более высокой памяти, такой как стек, исполняемый файл также пометит всю память ниже этого предела для исполняемого файла. Таким образом, в этих ситуациях схемы Exec Shield не работают. Это стоимость низких накладных расходов Exec Shield. Exec Shield проверяет на двоих ELF маркировка заголовка, которая определяет, должен ли стек или куча быть исполняемым. Они называются PT_GNU_STACK и PT_GNU_HEAP соответственно. Exec Shield позволяет устанавливать эти элементы управления как для двоичных исполняемых файлов, так и для библиотек; если исполняемый файл загружает библиотеку, требующую снятия данного ограничения, исполняемый файл унаследует эту маркировку и это ограничение будет снято.

  • Аппаратно поддерживаемые процессоры: все, что Linux поддерживает NX на
  • Эмуляция: приближение NX с использованием сегмент кода ограничение на IA-32 (x86 ) и совместимый
  • Другое Поддерживаемое: Нет
  • Стандартное распространение: Fedora Core и Red Hat Enterprise Linux
  • Дата выхода: 2 мая 2003 г.

PaX

В PaX Технология NX может имитировать функциональность NX или использовать аппаратный бит NX. PaX работает на процессорах x86, у которых нет бита NX, например на 32-битных x86. Linux ядро до сих пор не поставляется с PaX (по состоянию на май 2007 г.); патч нужно слить вручную.

PaX предоставляет два метода эмуляции битов NX, которые называются SEGMEXEC и PAGEEXEC. Метод SEGMEXEC накладывает измеримые, но низкие накладные расходы, обычно менее 1%, которые представляют собой постоянный скаляр, возникающий из-за зеркалирования виртуальной памяти, используемого для разделения между выполнением и доступом к данным.[5] SEGMEXEC также уменьшает вдвое виртуальное адресное пространство задачи, позволяя задаче получать доступ к меньшему объему памяти, чем обычно. Это не проблема, пока задача не требует доступа более чем к половине обычного адресного пространства, что бывает редко. SEGMEXEC не заставляет программы использовать больше системной памяти (т. Е. ОЗУ), он только ограничивает их доступ. На 32-разрядных процессорах это становится 1,5 ГБ, а не 3 ГБ.

PaX предоставляет метод, похожий на приближение Exec Shield в PAGEEXEC в качестве ускорения; однако, когда более высокая память помечена как исполняемый файл, этот метод теряет защиту. В этих случаях PaX возвращается к более старому методу с переменными накладными расходами, используемому PAGEEXEC для защиты страниц ниже предела CS, что в некоторых случаях может стать довольно затратной операцией. шаблоны доступа к памяти. Когда метод PAGEEXEC используется на ЦП, предоставляющем аппаратный бит NX, используется аппаратный бит NX, таким образом, не возникает значительных накладных расходов.

PaX предоставляет ограничения для mprotect (), чтобы программы не размечали память способами, которые производят память, полезную для потенциальных клиентов. эксплуатировать. Эта политика приводит к прекращению работы некоторых приложений, но ее можно отключить для затронутых программ.

PaX позволяет индивидуально управлять следующими функциями технологии для каждого исполняемого двоичного файла:

  • PAGEEXEC
  • SEGMEXEC
  • ограничения mprotect ()
  • Батут подражание
  • Рандомизированная исполняемая база
  • Рандомизированная база mmap ()

PaX игнорирует PT_GNU_STACK и PT_GNU_HEAP. Раньше в PaX была возможность настройки для соблюдения этих настроек, но эта опция была удалена по соображениям безопасности, так как считалась бесполезной. Те же результаты PT_GNU_STACK обычно можно получить, отключив ограничения mprotect (), так как программа обычно будет mprotect () стека при загрузке. Это не всегда может быть правдой; в ситуациях, когда это не удается, простое отключение PAGEEXEC и SEGMEXEC эффективно снимает все ограничения исполняемого пространства, давая задаче такую ​​же защиту в своем исполняемом пространстве, что и в системе, отличной от PaX.

  • Аппаратно поддерживаемые процессоры: Альфа, AMD64, IA-64, MIPS (32 и 64 бит), PA-RISC, PowerPC, SPARC
  • Эмуляция: IA-32 (x86 )
  • Другое Поддерживается: PowerPC (32 и 64 бит), SPARC (32 и 64 бит)
  • Стандартное распространение: Alpine Linux
  • Дата выхода: 1 октября 2000 г.

macOS

macOS for Intel поддерживает бит NX на всех процессорах, поддерживаемых Apple (начиная с Mac OS X 10.4.4 - первого выпуска Intel - и далее). Mac OS X 10.4 поддерживает только защиту стека NX. В Mac OS X 10.5 все 64-разрядные исполняемые файлы имеют стек и кучу NX; W ^ X защита. Это включает в себя x86-64 (Core 2 или новее) и 64-битная PowerPC на G5 Mac.

NetBSD

По состоянию на NetBSD 2.0 и более поздних версий (9 декабря 2004 г.), поддерживающие его архитектуры имеют неисполняемые стек и кучу.[6]

Архитектуры с постраничной детализацией включают: альфа, amd64, гппа, i386PAE ), powerpc (ibm4xx), sh5, спарк (sun4m, sun4d ), sparc64.

Архитектуры, которые могут поддерживать их только с детализацией по регионам: i386 (без PAE), другие powerpc (например, macppc).

Другие архитектуры не используют неисполняемый стек или кучу; NetBSD по умолчанию не использует программную эмуляцию, чтобы предлагать эти функции на этих архитектурах.

OpenBSD

Технология в OpenBSD Операционная система, известный как W ^ X, помечает доступные для записи страницы по умолчанию как неисполняемые на процессорах, которые это поддерживают. На 32-битной x86 процессоров, сегмент кода настроен так, чтобы включать только часть адресного пространства, чтобы обеспечить некоторый уровень защиты исполняемого пространства.

OpenBSD 3.3 была выпущена 1 мая 2003 г. и первой включила W ^ X.

  • Аппаратно поддерживаемые процессоры: Альфа, AMD64, HPPA, SPARC
  • Эмуляция: IA-32 (x86)
  • Другое Поддерживаемое: Нет
  • Стандартное распространение: Да
  • Дата выхода: 1 мая 2003 г.

Солярис

Солярис поддерживает глобальное отключение выполнения стека на процессорах SPARC с Solaris 2.6 (1997); в Solaris 9 (2002 г.) была добавлена ​​поддержка отключения выполнения стека для каждого исполняемого файла.

Windows

Начиная с Windows XP Service Pack 2 (2004 г.) и Windows Server 2003 Service Pack 1 (2005 г.), функции NX были впервые реализованы на x86 архитектура. Защита исполняемого пространства в Windows называется «Предотвращение выполнения данных» (DEP).

Под Windows XP или Server 2003 защита NX использовалась на критических Службы Windows исключительно по умолчанию. Если x86 Процессор поддерживал эту функцию аппаратно, затем функции NX были автоматически включены в Windows XP / Server 2003 по умолчанию. Если эта функция не поддерживалась процессором x86, защита не предоставлялась.

Ранние реализации DEP не обеспечивали рандомизация разметки адресного пространства (ASLR), что позволило атаки с возвратом к libc это можно было использовать для отключения DEP во время атаки.[7] В PaX документация поясняет, зачем нужен ASLR;[8] было подготовлено доказательство концепции, в котором подробно описан метод, с помощью которого можно обойти DEP в отсутствие ASLR.[9] Возможно, удастся разработать успешную атаку, если адрес подготовленных данных, таких как поврежденные изображения или MP3 может быть известен злоумышленнику.

Microsoft добавила функцию ASLR в Виндоус виста и Windows Server 2008. На этой платформе DEP реализован за счет автоматического использования PAE ядро в 32-битной Windows и встроенной поддержке 64-битных ядер. Windows Vista DEP работает, помечая определенные части памяти как предназначенные для хранения только данных, которые процессор с поддержкой битов NX или XD затем понимает как неисполняемые.[10] В Windows, начиная с версии Vista, включение или отключение DEP для конкретного процесса можно посмотреть на Процессы / Детали вкладка в Диспетчер задач Windows.

Windows реализует программный DEP (без использования бита NX) с помощью Microsoft «Safe Structured Exception Handling» (SafeSEH). Для правильно скомпилированных приложений SafeSEH проверяет, что при возникновении исключения во время выполнения программы обработчик исключения определяется приложением в том виде, в котором оно было изначально скомпилировано. Эффект этой защиты заключается в том, что злоумышленник не может добавить свой собственный обработчик исключений, который он сохранил на странице данных через непроверенный ввод программы.[10][11]

Когда NX поддерживается, он включен по умолчанию. Windows позволяет программам контролировать, какие страницы запрещают выполнение, через API а также через заголовки разделов в PE файл. В API доступ во время выполнения к биту NX предоставляется через Win32 Вызовы API VirtualAlloc [Ex] и VirtualProtect [Ex]. Каждая страница может быть отдельно помечена как исполняемая или неисполняемая. Несмотря на отсутствие предыдущей аппаратной поддержки x86, настройки как исполняемых, так и неисполняемых страниц были предоставлены с самого начала. На процессорах до NX наличие атрибута «исполняемый файл» не действует. Он был задокументирован так, как будто он действительно функционировал, и в результате большинство программистов использовали его правильно. В формате PE-файла каждый раздел может указывать его исполняемость. Флаг выполнения существует с самого начала формата и стандарта линкеры всегда правильно использовали этот флаг, даже задолго до бита NX. Из-за этого Windows может применять бит NX в старых программах. Если предположить, что программист соблюдает «передовой опыт», приложения должны работать правильно теперь, когда NX фактически применяется. Только в нескольких случаях возникали проблемы; Собственная среда выполнения .NET от Microsoft имела проблемы с битом NX и была обновлена.

  • Аппаратно поддерживаемые процессоры: x86-64 (AMD64 и Intel 64), IA-64, Efficeon, Pentium M (более поздние версии), AMD Sempron (более поздние версии)
  • Эмуляция: Да
  • Другое Поддерживается: Нет
  • Стандартное распространение: почта Windows XP
  • Дата выхода: 6 августа 2004 г.

Xbox

В Microsoft Xbox, хотя ЦП не имеет бита NX, более новые версии XDK установить предел сегмента кода на начало ядра .данные раздел (в нормальных обстоятельствах после этого места не должно быть кода). Начиная с версии 51xx, это изменение также было реализовано в ядре новых Xbox. Это сломало методы, которые старые эксплойты использовали, чтобы стать TSR. Однако быстро были выпущены новые версии, поддерживающие эту новую версию, поскольку основной эксплойт не был затронут.

Ограничения

Если код пишется и выполняется во время выполнения - JIT-компилятор является ярким примером - компилятор потенциально может использоваться для создания кода эксплойта (например, используя JIT спрей ), который был помечен для выполнения и поэтому не будет перехвачен.[12][13]

Возвратно-ориентированное программирование может позволить злоумышленнику выполнить произвольный код даже при принудительной защите исполняемого пространства.

Смотрите также

Рекомендации

  1. ^ «Улучшения безопасности управления памятью», Обзор безопасности Android, получено 2012/07/29.
  2. ^ "Изменение кода Android, включающее NX по умолчанию". Изменение исходного репозитория Android. Получено 2019-08-27.
  3. ^ «Требования совместимости Android для NX». Проверка кода Android. Получено 2019-08-27.
  4. ^ «Ядро Linux 2.6.8». kernelnewbies.org. 2004-08-14. Получено 2015-08-01.
  5. ^ "Документация PaX SEGMEXEC" (ТЕКСТ). pax.grsecurity.net. 10 сентября 2004 г.. Получено 25 января, 2015.
  6. ^ NetBSD, Неисполняемый стек и куча, получено 14.07.2011.
  7. ^ «Блог о кибертеррор».
  8. ^ http://pax.grsecurity.net/docs/aslr.txt
  9. ^ «Неинформированные - том 2, статья 4». Архивировано из оригинал на 2016-03-12. Получено 2010-03-19.
  10. ^ а б «Подробное описание функции предотвращения выполнения данных (DEP) в Windows XP с пакетом обновления 2, Windows XP Tablet PC Edition 2005 и Windows Server 2003». Microsoft. 2006-09-26. Архивировано из оригинал на 2014-09-11. Получено 2008-07-11.
  11. ^ Джонсон, Питер. "Руководство пользователя Yasm, win32: безопасная обработка структурированных исключений". Tortall Networks: открытый исходный код и бесплатное программное обеспечение. Архивировано из оригинал 2 января 2015 г.. Получено 27 сентября 2015.
  12. ^ Дион Блазакис. «Использование интерпретатора: вывод указателя и JIT-распыление» (PDF).
  13. ^ Алексей Синцов (5 марта 2010 г.). «Написание шелл-кода JIT-Spray для удовольствия и прибыли» (PDF). Архивировано из оригинал (PDF) на 2016-03-04.