ASLR - Address Space Layout Randomization

R&D - Conviso Application Security

Marcos´Alvares

3 de janeiro de 2011

Resumo

Certamente o ASLR foi um dos mecanismos de seguran¸ca mais efica-zes na conten¸cão da explosão no número de explora¸cões com sucesso no inicio do século 21. Inicialmente foi apresentado como solu¸cão genéricapara problemas de

buﬀer overﬂow

. Explora¸cões que assumiam que o apli-cativo vulnerável seria carregado em memória usando blocos de endere¸cos fixos foram invalidadas. Muito embora, pouco tempo depois técnicas paraburlar a prote¸cão tenham surgido, o custo para constru¸cão de um

exploit

funcional para essa categoria de vulnerabilidade aumentou significativa-mente. As tentativas de explora¸cão ficaram mais “ruidosas”, evidenciandopadrões de ataques e fornecendo subs´ıdios para constru¸cão de dispositivos de deteçcão automática. Atualmente, o ASLR é implementado nativa- mente nos sistemas operacionais mais populares. Esse artigo tem por ob- jetivo apresentar um breve (

i

) hist´orico, (

ii

) descrever o funcionamento,(

iii

) apresentar uma an´alise qualitativa e (

iv

) apresentar as principaist´ecnicas utilizadas parar contornar a prote¸c˜ao provida.

1 Defini¸cão e Histórico

O ASLR é um mecanismo de seguran¸ca que introduz aleatoriedade no processode aloca¸cão dos segmentos de um processo em memória. Esse processo é realizado toda vez que um aplicativo é executado e carregado em memória pelosistema operacional. O ASLR foi concebido em 2000 como parte do projeto

Page EXec

(PaX)[1,2,3]. O PaX nada mais ´e que um

patch

para o

kernel

do

Linux

que agrega diversas caracter´ısticas de seguran¸ca ao sistema operacional.Algumas solu¸c˜oes com objetivos similares ao ASLR j´a existiam antes de 2000 como o

StackGuard

,

StackShield

e a

LibSafe

. Apenas o ASLR foi implementadoe habilitado por padrão nos sistemas operacionais mais populares encontradosno mercado. Em 2005 foi adicionado oficialmente ao núcleo do sistema opera-cional

Linux

em sua vers˜ao 2

.

6

.

12. A

Microsoft

apresentou sua versão um anoapós através do

Windows Vista

.Devido a aleatoriedade inserida no processo de gera¸cão dos segmentos emmemória, para localizar endere¸cos o atacante necessita realizar uma série detentativas (for¸ca bruta) para uma explora¸cão de uma vulnerabilidade do tipo

buﬀer overﬂow

com sucesso. Essas tentativas são ruidosas e suscept´ıveis a seremclassificadas como tentativas de ataque. Quando implementado em conjuntocom sistemas de monitora¸cão e rea¸cão, o ASLR pode ser um mecanismo bastante eficaz para deteçcão de tentativas de intrusão. Para leitura desse artigo é recomendável conhecimentos básicos de pro-grama¸cão em

C

,

Assembly Intel x86

, explora¸cão em pilha[4,5]e depura¸cão básica usando o GDB[6,7]. Apesar de todos os exemplos exibidos nesse artigo

1

malvares@conviso.com.br

1

serem constru´ıdos usando o sistema operacional

GNU Linux

, a teoria elabo-rada é aplicável a qualquer implementa¸cão de ASLR encontrada nos sistemas operacionais modernos.

2 Contextualiza¸c˜ao Te´orica

Nos sistemas operacionais modernos cada processo possui um espa¸co de en-dere¸camento privado, isolado e dividido em segmentos com fins espec´ıficos. Doponto de vista do processo é como se esse tivesse todos os recursos f´ısicos dis-pon´ıveis para uso exclusivo. A memória básica ou volátil (RAM) é um desses recursos. Quando o usuário solicita a execu¸cão de um determinado aplicativo, um espa¸co de endere¸camento virtual é reservado e o seu binário é carregado nesse espa¸co. O espa¸co de endere¸camento é segmentado de acordo com o tipo dos dados armazenados em cada segmento. Os principais segmentos de umprocesso em memória são:

•

Dados

: segmento onde estão contidas as variáveis estáticas e globais;

•

C´odigo

: possui o c´odigo de m´aquina do processo executado;

•

Pilha

: armazena variáveis locais e referências para controle de fluxo;

•

Heap

: região que armazena as variáveis alocadas dinâmicamente;

•

Bibliotecas compartilhadas

: mapas de biliotecas ligadas dinˆamicamente.O C´odigo1mostra o espa¸co de endere¸camento e os principais segmentos do processo “

cat

”. Nota-se que o “cat” é um binário ligado dinâmicamente a outrasbilbliotecas através do “

ld-2.11.1.so

” (linha 6). Atrav´es do

ld

bibliotecas podemser acopladas ao processo em tempo de execu¸cão como a biblioteca mostradana linha 9. O segmento de código, onde o executável é carregado, é encontradona linha 7. Note que esse segmento tem permissão de leitura e execu¸cão mas não de escrita. Esse mecânismo impede que após o carregamento do binário em memória seja poss´ıvel a inje¸cão de conteúdo nesse segmento (l´ıcito ou não). Por fim, observa-se a os segmentos de pilha e

heap

nas linhas 12 e 8 respectivamente.

1

mabj@Jarvis:~$ cat /proc/self/maps

2

00652000-00653000 r-xp 00000000 00:00 0 [vdso]

3

00695000-007e8000 r-xp 00000000 08:05 1077606 /lib/tls/i686/cmov/libc-2.11.1.so

4

007e8000-007e9000 ---p 00153000 08:05 1077606 /lib/tls/i686/cmov/libc-2.11.1.so

5

007ec000-007ef000 rw-p 00000000 00:00 0

6

00de3000-00dfe000 r-xp 00000000 08:05 918023 /lib/ld-2.11.1.so

7

08048000-08054000 r-xp 00000000 08:05 557808 /bin/cat

8

09f55000-09f76000 rw-p 00000000 00:00 0 [heap]

9

b75ff000-b763e000 r--p 00000000 08:05 269665 /usr/lib/locale/en_US.utf8/LC_CTYPE

10

...

11

b7772000-b7774000 rw-p 00000000 00:00 0

12

bfb54000-bfb69000 rw-p 00000000 00:00 0 [stack]

C´odigo 1:

Espa¸co de endera¸camento correspodente ao processo “cat”.

O componente do sistema operacional responsável por carregar o executávelem memória é o

loader

. O

loader

recebe o arquivo bin´ario

COFF

(

Commom Object File Format

), cria os segmentos mostrados e configura suas respectivaspermissões. O tamanho e as permissões de um determinado segmento podemser alterados em tempo de execu¸cão. Um exemplo de cria¸cão de um segmento em memória usando o

mmap

pode ser observado no C´odigo2.2

12

#define FILEPATH "./example.txt"

3

#define NUMCHARS sizeof("marcos alvares")

4

#define FILESIZE (NUMCHARS * sizeof(int))

56

int main()

{

7

int fd; char *map;

89

fd = open(FILEPATH, O_RDWR);

1011

map = mmap(NULL, FILESIZE, PROT_READ | PROT_WRITE, MAP_SHARED, fd, 0);

1213

map[NUMCHARS - 1] = ’

\

0’;

14

printf("[%s]

\

n", map);

1516

printf("PID do PROCESSO: [%d]

\

n

\

n", getpid());

17

sleep(20000);

18

...

19

return 0;

20

}

C´odigo 2:

Cria¸cão de segmento em memória para leitura e escrita com o conteúdo de um arquivo em disco.

Na linha 9 um

ﬁlehandler

para o arquivo “

example.txt

” é criado e seuconteúdo é mapeado em memória usando a fun¸cão

mmap()

na linha 11. Aspermissões do segmento são passadas por parâmetro para a fun¸cão

mmap()

:“

PROT READ

|

PROT WRITE

” (leitura e escrita). Isso significa que nenhumconteúdo inserido nesse segmento poderá ser executado. Caso ocorra uma ten-tativa de execu¸cão de conteúdo o sistema operacional enviará um sinal de falha de segmenta¸cão (

SEGFAULT

) para o processo. A

string

“

marcos alvares

” (queestá contida no arquivo) é impressa na sa´ıda padrão. Nas linhas 16 e 17 éimpresso o PID na sa´ıda padrão e um

sleep()

é realizado para que possamosobservar o mapa do processo em memória (Código3).

1

mabj@Jarvis:~/aslr/doc/examples$ ./example &

2

[marcos alvares]

3

PID do PROCESSO: [3132]

45

mabj@Jarvis:~/aslr/doc/examples$ cat /proc/3132/maps

6

0011e000-0011f000 r-xp 00000000 00:00 0 [vdso]

7

0011f000-00272000 r-xp 00000000 08:05 1077606 /lib/tls/i686/cmov/libc-2.11.1.so

8

00276000-00279000 rw-p 00000000 00:00 0

9

00a1f000-00a3a000 r-xp 00000000 08:05 918023 /lib/ld-2.11.1.so

10

08048000-08049000 r-xp 00000000 08:06 397551 /home/mabj/aslr/doc/examples/example

11

b7816000-b7817000 rw-p 00000000 00:00 0

12

b7817000-b7818000 rw-s 00000000 08:06 397845 /home/mabj/aslr/doc/examples/example.txt

13

b7818000-b781a000 rw-p 00000000 00:00 0

14

bf886000-bf89b000 rw-p 00000000 00:00 0 [stack]

15

C´odigo 3:

Mapa do processo criado pelo aplicativo mostrado no C´odigo2.

Na linha 20 o arquivo “

example.txt

” foi mapeado no espa¸co de endere¸camentodo processo “

example

”. O mapa criado possui permiss˜ao para leitura e escrita(“

rw-s

”). Na coluna a esqueda do mapa do processo encontramos o endere¸code cada segmento. Por exemplo, o nosso segmento com o arquivo “

example.txt

”est´a mapeado do endere¸co 0x

b

7817000 at´e o 0x

b

7818000 que corresponde aotamanho m´ınimo de um segmento mapeado que ´e 4

KB

.Para exemplificar o funcionamento do ASLR vamos executar o processo duasvezes com o mecanismo desabilitado e duas vezes com o mecanismo habilitado.Sem o ASLR os segmentos do processo serão mapeados sempre na mesma faixade endere¸cos. No Código4,podemos observar o mapa gerado através de duas execu¸cões da aplica¸cão sem o ASLR. Nas linhas marcadas de vermelho podemos observar que nas duas execu¸cões o aplicativo foi mapeado em memória com os mesmos endere¸cos.3