cs642 computer security
play

CS642: Computer Security Professor Ristenpart - PowerPoint PPT Presentation

Feb 03, 2023 •430 likes •919 views

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

  2. Low-­‑level ¡soEware ¡ vulnerability ¡protecGon ¡ ¡ mechanisms ¡ CS642: ¡ ¡ Computer ¡Security ¡ Professor ¡Ristenpart ¡ h9p://www.cs.wisc.edu/~rist/ ¡ rist ¡at ¡cs ¡dot ¡wisc ¡dot ¡edu ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  3. How ¡can ¡we ¡help ¡prevent ¡exploitaGon ¡of ¡buffer ¡ overflows ¡and ¡other ¡control ¡flow ¡hijacking? ¡ Non-­‑executable ¡memory ¡pages ¡ Return-­‑into-­‑libc ¡exploits, ¡Return-­‑oriented ¡ programming ¡ Address ¡space ¡layout ¡randomizaGon ¡ StackGuard, ¡StackShield ¡ SoEware ¡fault ¡isolaGon ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  4. Process ¡memory ¡layout ¡ unused ¡space ¡ heap ¡ stack ¡ .text ¡ .data ¡ .bss ¡ Env. ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡ .text: ¡ ¡ ¡ ¡ ¡ ¡ heap: ¡ ¡ ¡ ¡ ¡ ¡ ¡machine ¡code ¡of ¡executable ¡ ¡dynamic ¡variables ¡ .data: ¡ stack: ¡ ¡ ¡ ¡ ¡ ¡global ¡iniGalized ¡variables ¡ ¡ ¡ ¡ ¡ ¡local ¡variables, ¡track ¡func ¡calls ¡ .bss: ¡ Env: ¡ ¡ ¡ ¡ ¡ ¡“below ¡stack ¡secGon” ¡ ¡ ¡ ¡ ¡ ¡environment ¡variables, ¡ ¡ ¡ ¡ ¡ ¡global ¡uniniGalized ¡variables ¡ ¡arguments ¡to ¡program ¡

  5. Typical ¡return ¡ptr ¡overwrite ¡exploit ¡ values ¡ ptr ¡ caller ¡ name ¡ EBP ¡ EIP ¡ temp1 ¡ temp2 ¡ local ¡vars ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡ Why ¡should ¡the ¡machine ¡interpret ¡ ¡ stack ¡data ¡as ¡instrucGons? ¡

  6. W^X ¡ ¡(W ¡xor ¡X) ¡ • The ¡idea: ¡mark ¡memory ¡page ¡as ¡either ¡ – Writable ¡or ¡Executable ¡(not ¡both) ¡ • Specifically: ¡ ¡make ¡heap ¡and ¡stack ¡non-­‑ executable ¡ caller ¡ name ¡ EBP ¡ EIP ¡ temp1 ¡ temp2 ¡ values ¡ ptr ¡ local ¡vars ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡

  7. W^X ¡ ¡(W ¡xor ¡X) ¡ • AMD64: ¡ ¡NX ¡bit ¡(Non-­‑Executable) ¡ ¡ ¡ ¡ ¡ ¡IA-­‑64: ¡ ¡ ¡ ¡ ¡ ¡XD ¡bit ¡(eXecute ¡Disabled) ¡ ¡ ¡ ¡ ¡ARMv6: ¡ ¡ ¡XN ¡bit ¡(eXecute ¡Never) ¡ – Extra ¡bit ¡in ¡each ¡page ¡table ¡entry ¡ – Processor ¡refuses ¡to ¡execute ¡code ¡if ¡bit ¡= ¡1 ¡ – Mark ¡heap ¡and ¡stack ¡segments ¡as ¡such ¡ caller ¡ name ¡ EBP ¡ EIP ¡ temp1 ¡ temp2 ¡ values ¡ ptr ¡ local ¡vars ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡

  8. W^X ¡ ¡(W ¡xor ¡X) ¡ SoEware ¡emulaGon ¡of ¡NX ¡bits ¡ • ExecShield ¡(RedHat ¡Linux) ¡ • PaX ¡ ¡(Page-­‑eXec) ¡(uses ¡NX ¡bit ¡if ¡available) ¡ mprotect() ¡ • Process ¡can ¡set ¡permissions ¡on ¡memory ¡pages ¡

  9. Will ¡W^X ¡stop: ¡ AlephOne’s ¡stack ¡overflow ¡exploit? ¡ Yes ¡ Stack ¡smash ¡that ¡overwrites ¡pointer ¡to ¡ Yes ¡ point ¡at ¡shell ¡code ¡in ¡Heap ¡or ¡Env ¡variable? ¡ Heap ¡overflow ¡with ¡same ¡shell ¡locaGon? ¡ Yes ¡ Double ¡free ¡with ¡same ¡shell ¡locaGon? ¡ Yes ¡

  10. LimitaGons ¡of ¡W^X ¡ SoEware ¡emulaGon ¡… ¡ • May ¡not ¡be ¡perfect ¡and ¡is ¡slow ¡ • E.g., ¡double-­‑free ¡or ¡format-­‑string ¡vulnerability ¡ may ¡allow ¡turning ¡off ¡protecGons ¡ Breaking ¡compaGbility ¡ • GCC ¡stack ¡trampolines ¡ ¡(calling ¡convenGons, ¡ nested ¡funcGons) ¡ • Just-­‑in-­‑Gme ¡(JIT) ¡compilaGon ¡using ¡heap ¡ ¡ Exploits ¡designed ¡to ¡only ¡run ¡exisGng ¡code ¡

  11. What ¡about ¡circumvenGng ¡W^X? ¡ Exploits ¡designed ¡to ¡only ¡run ¡exisGng ¡code ¡

  12. Return-­‑into-­‑libc ¡exploits ¡ • libc ¡is ¡standard ¡C ¡library, ¡included ¡in ¡all ¡ processes ¡ • system() ¡-­‑-­‑-­‑ ¡execute ¡commands ¡on ¡system ¡

  13. Return-­‑into-­‑libc ¡exploits ¡ Overwrite ¡EIP ¡with ¡address ¡of ¡system() ¡funcGon ¡ junk2 ¡just ¡some ¡filler: ¡returned ¡to ¡aEer ¡system ¡call ¡ first ¡argument ¡to ¡system() ¡is ¡ptr ¡to ¡“/bin/sh” ¡ addr ¡of ¡ ¡ addr ¡of ¡ junk junk ¡ “/bin/sh ” ¡ system() ¡ 2 ¡ caller ¡ name ¡ EBP ¡ EIP ¡ temp1 ¡ temp2 ¡ local ¡vars ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡

  14. Return-­‑into-­‑libc ¡exploits ¡ This ¡simple ¡exploit ¡has ¡a ¡few ¡deficiencies ¡(from ¡a9acker’s ¡pov): ¡ ¡-­‑ ¡Crashes ¡aEer ¡exiGng ¡called ¡/bin/sh ¡( ¡easy ¡to ¡fix ¡with ¡exit() ¡) ¡ ¡-­‑ ¡system() ¡drops ¡privileges ¡by ¡default ¡ addr ¡of ¡ addr ¡of ¡ addr ¡of ¡ addr ¡of ¡ addr ¡of ¡ addr ¡of ¡ junk ¡ prini ¡ execl ¡ “%3\$n” ¡ “./wrap” ¡ “./wrap” ¡ HERE ¡ wrap.c ¡: ¡ execl( ¡“./wrap”, ¡ ¡“./wrap”, ¡0 ¡) ¡ Writes ¡ main() ¡{ ¡ 0 ¡here ¡ ¡ ¡ ¡setuid(0); ¡ ¡ ¡ ¡setgid(0); ¡ prini( ¡“%3$n”, ¡… ¡) ¡ %3n ¡means ¡“write ¡number ¡of ¡bytes ¡in ¡format ¡ ¡ ¡ ¡system(“bin/sh”); ¡ string ¡up ¡to ¡the ¡format ¡token ¡into ¡third ¡parameter” ¡ } ¡

  15. Return-­‑into-­‑libc ¡exploits ¡ These ¡exploits ¡only ¡execute ¡instrucGons ¡marked ¡executable ¡ W^X ¡cannot ¡stop ¡such ¡an ¡a9ack ¡ addr ¡of ¡ addr ¡of ¡ addr ¡of ¡ addr ¡of ¡ addr ¡of ¡ addr ¡of ¡ junk ¡ prini ¡ execl ¡ “%3\$n” ¡ “./wrap” ¡ “./wrap” ¡ HERE ¡ wrap.c ¡: ¡ execl( ¡“./wrap”, ¡ ¡“./wrap”, ¡0 ¡) ¡ Writes ¡ main() ¡{ ¡ 0 ¡here ¡ ¡ ¡ ¡setuid(0); ¡ ¡ ¡ ¡setgid(0); ¡ prini( ¡“%3$n”, ¡… ¡) ¡ %3n ¡means ¡“write ¡number ¡of ¡bytes ¡in ¡format ¡ ¡ ¡ ¡system(“bin/sh”); ¡ string ¡up ¡to ¡the ¡format ¡token ¡into ¡third ¡parameter” ¡ } ¡

  16. Return-­‑into-­‑libc ¡exploits ¡ Return-­‑into-­‑libc ¡may ¡seem ¡limited: ¡ -­‑ Only ¡useful ¡for ¡calling ¡libc ¡funcGons ¡ -­‑ Okay ¡in ¡last ¡example, ¡but ¡not ¡always ¡sufficient ¡ -­‑ Before ¡W^X, ¡exploit ¡could ¡run ¡arbitrary ¡code ¡ Can ¡we ¡ not ¡inject ¡any ¡malicious ¡code ¡and ¡yet ¡ have ¡an ¡exploit ¡that ¡runs ¡ arbitrary ¡code ? ¡

  17. Return-­‑oriented ¡programming ¡(ROP) ¡ Second ¡return-­‑into-­‑libc ¡exploit: ¡ ¡ ¡ ¡ ¡ ¡ ¡self-­‑modifying ¡exploit ¡buffer ¡to ¡call ¡a ¡sequence ¡of ¡libc ¡calls ¡ Logical ¡extreme: ¡ ¡ ¡chain ¡together ¡a ¡long ¡sequence ¡of ¡calls ¡to ¡code ¡ But ¡we ¡want ¡arbitrary ¡code, ¡not ¡sequence ¡of ¡ ¡libc ¡calls: ¡ ¡chain ¡together ¡a ¡long ¡sequence ¡of ¡calls ¡to ¡code ¡snippets ¡

  18. Return-­‑oriented ¡programming ¡(ROP) ¡ (*) ¡ From ¡Shacham ¡“The ¡Geometry ¡of ¡Innocent ¡Flesh ¡on ¡the ¡Bone…” ¡2007 ¡ If ¡this ¡is ¡on ¡stack ¡and ¡(*) ¡is ¡return ¡pointer ¡aEer ¡buffer ¡overflow, ¡then ¡ ¡ the ¡result ¡will ¡be ¡loading ¡0xdeadbeef ¡into ¡edx ¡register ¡

  19. Return-­‑oriented ¡programming ¡(ROP) ¡ From ¡Shacham ¡“The ¡Geometry ¡of ¡Innocent ¡Flesh ¡on ¡the ¡Bone…” ¡2007 ¡

  20. From ¡ ¡ Shacham ¡ ¡ “The ¡Geometry ¡of ¡ ¡Innocent ¡Flesh ¡on ¡ ¡ the ¡Bone…” ¡2007 ¡

  21. ROP ¡where ¡do ¡we ¡get ¡code ¡snippets? ¡ c7  45   d4  01 movl $0x00000001, -44(%ebp) 00  00   00 � add %dh, %bh f7  c7    07  test $0x00000007, %edi  00 movl $0x0F000000, (%edi) 00   00   0f � } 95 xchg %ebp, %eax setnzb -61(%ebp) } 45 inc%ebp } ret c3 Buchanan ¡et ¡al., ¡Blackhat ¡2008 ¡

  22. W^X ¡wrapup ¡ W^X ¡does ¡not ¡prevent ¡arbitrary ¡code ¡execuGon, ¡ but ¡does ¡make ¡it ¡harder! ¡ What ¡else ¡can ¡we ¡do? ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

599 views • 36 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

578 views • 34 slides
CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

X86 Review Process Layout, ISA, etc. CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From Last Week ACL-based permissions (UNIX style)

672 views • 28 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Diffie-Hellman, Side-channels, RNGs CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University

494 views • 26 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

933 views • 37 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

811 views • 54 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

576 views • 38 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

827 views • 39 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

636 views • 40 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

630 views • 51 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

985 views • 53 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

733 views • 55 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

603 views • 42 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

606 views • 41 slides
TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

931 views • 56 slides
Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

354 views • 33 slides
These are tough times Percolation, Union Find, Sorting and Priority Queues Talk to your

These are tough times Percolation, Union Find, Sorting and Priority Queues Talk to your

Compsci 201 These are tough times Percolation, Union Find, Sorting and Priority Queues Talk to your friends, virtually reach out to others Part 1 of 5 Susan Rodger April 1, 2020 4/1/2020 Compsci 201, Spring 2020 1 4/1/2020 Compsci

489 views • 13 slides
Off-Campus Employment: Severe Economic Hardship International Students and Scholars Office|

Off-Campus Employment: Severe Economic Hardship International Students and Scholars Office|

Off-Campus Employment: Severe Economic Hardship International Students and Scholars Office| University of Wyoming Cheney International Center, Ste 5 307-766-5193 uwglobal@uwyo.edu Online Resources www.uwyo.edu/iss 1 2 Workshop

505 views • 28 slides
Prospective Family Engagement Please remove her from your database. Sorry!!! Complete Page 2

Prospective Family Engagement Please remove her from your database. Sorry!!! Complete Page 2

Prospective Family Engagement Please remove her from your database. Sorry!!! Complete Page 2 Camp Self Assessment (do this individually) Be sure to answer thinking about the TEAM rather than only for yourself Once done, compare

273 views • 15 slides
3G Appointment & Sponsorship Process Training 4/1/2014 & 4/3/2014 1 Draft &

3G Appointment & Sponsorship Process Training 4/1/2014 & 4/3/2014 1 Draft &

Revised 3/31/14 3G Appointment & Sponsorship Process Training 4/1/2014 & 4/3/2014 1 Draft & Confidential Contents & Key Dates 3G Process Overview Appointment Process Unit/Department ImageNow How-To Guide

622 views • 26 slides
CSC 309 Lecture Notes Week 1 Introduction to the Course Introduction to the Design Process

CSC 309 Lecture Notes Week 1 Introduction to the Course Introduction to the Design Process

CSC309-S15-L1 Slide 1 CSC 309 Lecture Notes Week 1 Introduction to the Course Introduction to the Design Process CSC309-S15-L1 Slide 2 I. First-day handouts A. Syllabus B. Milestone 1, including 1. SCO format 2. work breakdown format 3.

977 views • 52 slides
Identity Types and Type Setups Uppsala, February 18th, 2009 Stockholm-Uppsala Logic Seminar and

Identity Types and Type Setups Uppsala, February 18th, 2009 Stockholm-Uppsala Logic Seminar and

Identity Types and Type Setups Uppsala, February 18th, 2009 Stockholm-Uppsala Logic Seminar and Gothenberg, February 19th, 2009 . Peter Aczel petera@cs.man.ac.uk SCAS and Manchester University Part I: Identity Types Part II: Type Setups

653 views • 42 slides
Lecture 8: Image Filtering II Justin Johnson EECS 442 WI 2020: Lecture 8 - 1 February 4, 2020

Lecture 8: Image Filtering II Justin Johnson EECS 442 WI 2020: Lecture 8 - 1 February 4, 2020

Lecture 8: Image Filtering II Justin Johnson EECS 442 WI 2020: Lecture 8 - 1 February 4, 2020 Administrative HW1 is due Tomorrow, Wednesday 2/5 11:59pm HW2 should be released tomorrow, due Wednesday 2/19 11:59pm Justin Johnson EECS 442 WI

988 views • 60 slides
Slope based fjlter BL3 mini presentation SAMPA Design Review Meeting Konstantin Mnning

Slope based fjlter BL3 mini presentation SAMPA Design Review Meeting Konstantin Mnning

Slope based fjlter BL3 mini presentation SAMPA Design Review Meeting Konstantin Mnning Universitt Bonn Helmholtz-Institut fr Strahlen- und Kernphysik 23.01.2015 Slope based fjlter, principle g ( 0 )= f ( 0 ) (arbitrary) g' ( t )= {

292 views • 5 slides

More recommend