La distribución aleatoria del diseño del espacio de direcciones (ASLR) es una técnica de seguridad utilizada en los sistemas operativos, implementada por primera vez en 2001. Las versiones actuales de los principales sistemas operativos (iOS, Android, Windows, macOS y Linux) cuentan con protección ASLR. Pero la semana pasada, se encontró un nuevo método para eludir ASLR . Entonces, ¿debería estar preocupado?
Para quienes no tienen experiencia en programación de bajo nivel, ASLR puede resultar confuso. Para comprenderlo, primero debe comprender la memoria virtual.
¿Qué es la memoria virtual?
La memoria virtual es una técnica de gestión de memoria con muchos beneficios, pero se creó principalmente para facilitar la programación. Imagina que tienes Google Chrome, Microsoft Word y varios otros programas abiertos en una computadora con 4 GB de RAM. En conjunto, los programas de esta computadora usan mucho más de 4 GB de RAM. Sin embargo, no todos los programas estarán activos en todo momento ni necesitarán acceso simultáneo a esa RAM.
El sistema operativo asigna trozos de memoria a programas llamados páginas . Si no hay suficiente RAM para almacenar todas las páginas a la vez, las páginas que es menos probable que sean necesarias se almacenan en el disco duro más lento (pero más espacioso). Cuando se necesiten las páginas almacenadas, cambiarán espacios con páginas menos necesarias actualmente en la RAM. Este proceso se denomina paginación y presta su nombre al archivo pagefile.sys en Windows .
La memoria virtual facilita que los programas administren su propia memoria y también los hace más seguros. Los programas no necesitan preocuparse por dónde otros programas están almacenando datos o cuánta RAM queda. Simplemente pueden solicitar al sistema operativo memoria adicional (o devolver la memoria no utilizada) según sea necesario. Todo lo que ve el programa es una sola porción continua de direcciones de memoria para su uso exclusivo, llamadas direcciones virtuales. El programa no puede mirar la memoria de otro programa.
Cuando un programa necesita acceder a la memoria, le da al sistema operativo una dirección virtual. El sistema operativo contacta con la unidad de administración de memoria (MMU) de la CPU. La MMU se traduce entre direcciones virtuales y físicas, devolviendo esa información al sistema operativo. En ningún momento el programa interactúa directamente con la RAM.
¿Qué es ASLR?
La distribución aleatoria del diseño del espacio de direcciones (ASLR) se utiliza principalmente para proteger contra ataques de desbordamiento de búfer. En un desbordamiento del búfer, los atacantes alimentan una función con tantos datos basura como pueden manejar, seguidos de una carga útil maliciosa. La carga útil sobrescribirá los datos a los que el programa intenta acceder. Las instrucciones para saltar a otro punto del código son una carga útil común. El famoso método JailbreakMe de hacer jailbreak a iOS 4 , por ejemplo, utilizó un ataque de desbordamiento de búfer, lo que llevó a Apple a agregar ASLR a iOS 4.3.
Los desbordamientos de búfer requieren que un atacante sepa dónde se encuentra cada parte del programa en la memoria. Averiguar esto suele ser un proceso difícil de prueba y error. Después de determinar eso, deben crear una carga útil y encontrar un lugar adecuado para inyectarla. Si el atacante no sabe dónde se encuentra su código objetivo, puede ser difícil o imposible explotarlo.
ASLR trabaja junto con la administración de memoria virtual para aleatorizar las ubicaciones de diferentes partes del programa en la memoria. Cada vez que se ejecuta el programa, los componentes (incluida la pila, el montón y las bibliotecas) se mueven a una dirección diferente en la memoria virtual. Los atacantes ya no pueden saber dónde está su objetivo a través de prueba y error, porque la dirección será diferente cada vez. En general, las aplicaciones deben compilarse con soporte ASLR, pero esto se está convirtiendo en el valor predeterminado e incluso es necesario en Android 5.0 y versiones posteriores.
Entonces, ¿ASLR todavía te protege?
El martes pasado, investigadores de SUNY Binghamton y la Universidad de California, Riverside, presentaron un artículo llamado Jump Over ASLR: Attacking Branch Predictors to Bypass ASLR . El documento detalla una forma de atacar el búfer de destino de rama (BTB). El BTB es parte del procesador que acelera las declaraciones if al predecir el resultado. Usando el método de los autores, es posible determinar la ubicación de instrucciones de rama conocidas en un programa en ejecución. El ataque en cuestión se realizó en una máquina Linux con un procesador Intel Haswell (lanzado por primera vez en 2013), pero probablemente podría aplicarse a cualquier sistema operativo y procesador moderno.
Dicho esto, no debes desesperarte necesariamente. El documento ofreció algunas formas en que los desarrolladores de hardware y sistemas operativos pueden mitigar esta amenaza. Las técnicas ASLR más nuevas y de grano fino requerirían más esfuerzo por parte del atacante, y aumentar la cantidad de entropía (aleatoriedad) puede hacer que el ataque Jump Over no sea factible. Lo más probable es que los sistemas operativos y procesadores más nuevos sean inmunes a este ataque.
Así que lo que queda para que pueda hacer? El desvío Jump Over es nuevo y aún no se ha visto en la naturaleza. Cuando los atacantes lo explotan, la falla aumentará el daño potencial que un atacante puede causar en su dispositivo. Este nivel de acceso no tiene precedentes; Microsoft y Apple solo implementaron ASLR en sus sistemas operativos lanzados en 2007 y posteriores. Incluso si este estilo de ataque se convierte en algo común, no estará peor de lo que estaba en la época de Windows XP.
Tenga en cuenta que los atacantes aún deben obtener su código en su dispositivo para causar algún daño. Esta falla no les proporciona ninguna forma adicional de infectarlo. Como siempre, debe seguir las mejores prácticas de seguridad . Utilice antivirus, manténgase alejado de sitios web y programas incompletos y mantenga su software actualizado. Si sigue estos pasos y mantiene a los actores maliciosos fuera de su computadora, estará más seguro que nunca.
Crédito de la imagen: Steve / Flickr