cs642 computer security
play

CS642: Computer Security Professor Ristenpart - PowerPoint PPT Presentation

Jan 20, 2024 •178 likes •733 views

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

  1. Low-­‑level ¡soEware ¡ vulnerability ¡protecGon ¡ ¡ mechanisms ¡ CS642: ¡ ¡ Computer ¡Security ¡ Professor ¡Ristenpart ¡ h9p://www.cs.wisc.edu/~rist/ ¡ rist ¡at ¡cs ¡dot ¡wisc ¡dot ¡edu ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  3. How ¡can ¡we ¡help ¡prevent ¡exploitaGon ¡of ¡buffer ¡ overflows ¡and ¡other ¡control ¡flow ¡hijacking? ¡ Non-­‑executable ¡memory ¡pages ¡ Return-­‑into-­‑libc ¡exploits, ¡Return-­‑oriented ¡ programming ¡ Address ¡space ¡layout ¡randomizaGon ¡ StackGuard, ¡StackShield ¡ SoEware ¡fault ¡isolaGon ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  4. Process ¡memory ¡layout ¡ unused ¡space ¡ heap ¡ stack ¡ .text ¡ .data ¡ .bss ¡ Env. ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡ .text: ¡ ¡ ¡ ¡ ¡ ¡ heap: ¡ ¡ ¡ ¡ ¡ ¡ ¡machine ¡code ¡of ¡executable ¡ ¡dynamic ¡variables ¡ .data: ¡ stack: ¡ ¡ ¡ ¡ ¡ ¡global ¡iniGalized ¡variables ¡ ¡ ¡ ¡ ¡ ¡local ¡variables, ¡track ¡func ¡calls ¡ .bss: ¡ Env: ¡ ¡ ¡ ¡ ¡ ¡“below ¡stack ¡secGon” ¡ ¡ ¡ ¡ ¡ ¡environment ¡variables, ¡ ¡ ¡ ¡ ¡ ¡global ¡uniniGalized ¡variables ¡ ¡arguments ¡to ¡program ¡

  5. Typical ¡return ¡ptr ¡overwrite ¡exploit ¡ unused ¡space ¡ heap ¡ stack ¡ .text ¡ .data ¡ .bss ¡ Env. ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡ values ¡ ptr ¡ caller ¡ name ¡ EBP ¡ EIP ¡ temp1 ¡ temp2 ¡ local ¡vars ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡

  6. Countermeasures? ¡ • Stack ¡canaries ¡ ¡ • Address ¡space ¡layout ¡randomizaGon ¡ • W^X ¡ • Confinement ¡ ¡

  7. ProtecGng ¡the ¡stack ¡ local ¡ caller ¡ … ¡ EBP ¡ EIP ¡ Param1 ¡ var1 ¡ local ¡vars ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡ Can ¡we ¡protect ¡the ¡return ¡address ¡ from ¡being ¡overwri9en? ¡ Two ¡approaches: ¡ • Detect ¡manipulaGon ¡(and ¡then ¡fail ¡safe) ¡ • Prevent ¡it ¡completely ¡

  8. DetecGon: ¡stack ¡canaries ¡ local ¡ caller ¡ … ¡ canary ¡ EBP ¡ EIP ¡ Param1 ¡ var1 ¡ local ¡vars ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡ Canary ¡value ¡can ¡be: ¡ • Random ¡value ¡(choose ¡once ¡for ¡whole ¡process) ¡ • NULL ¡bytes ¡/ ¡EOF ¡/ ¡etc. ¡(string ¡funcGons ¡won’t ¡copy ¡past ¡canary) ¡ On ¡end ¡of ¡funcGon, ¡check ¡that ¡canary ¡is ¡correct, ¡if ¡not ¡fail ¡safe ¡

  9. DetecGon: ¡stack ¡canaries ¡ local ¡ caller ¡ … ¡ canary ¡ EBP ¡ EIP ¡ Param1 ¡ var1 ¡ local ¡vars ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡ StackGuard: ¡ • GCC ¡extension ¡that ¡adds ¡runGme ¡canary ¡checking ¡ • 8% ¡overhead ¡on ¡Apache ¡ ProPolice: ¡ • Modifies ¡how ¡canaries ¡inserted ¡ • Adds ¡protecGon ¡for ¡registers ¡ • Sorts ¡variables ¡so ¡arrays ¡are ¡highest ¡in ¡stack ¡

  10. DetecGon: ¡stack ¡canaries ¡ local ¡ caller ¡ … ¡ canary ¡ EBP ¡ EIP ¡ Param1 ¡ var1 ¡ local ¡vars ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡ Discussion: ¡How ¡would ¡you ¡get ¡around ¡it? ¡ h9p://www.phrack.org/issues.html?issue=56&id=5 ¡

  11. Reading ¡the ¡stack, ¡remotely ¡ Request ¡(can ¡trigger ¡buffer ¡overflow ¡in ¡stack) ¡ Apache ¡forks ¡ off ¡child ¡process ¡ to ¡handle ¡request ¡ Response ¡(unless ¡process ¡crashes) ¡ Apache ¡web ¡server ¡ ¡ local ¡ random ¡ caller ¡ … ¡ EBP ¡ EIP ¡ Param1 ¡ var1 ¡ canary ¡ local ¡vars ¡ junk ¡ x ¡ y ¡ z ¡ w For ¡each ¡value ¡x, ¡send ¡request ¡and ¡see ¡if ¡ responded ¡to ¡properly ¡ ¡ Repeat ¡for ¡subsequent ¡bytes ¡of ¡canary ¡ Expected ¡2 7 ¡ + ¡2 7 ¡ + ¡2 7 ¡ ¡ + ¡2 7 ¡ = ¡512 ¡ ¡ requests ¡

  12. DetecGon: ¡copying ¡values ¡to ¡safe ¡ locaGon ¡ local ¡ caller ¡ … ¡ EBP ¡ EIP ¡ Param1 ¡ var1 ¡ local ¡vars ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ Make ¡a ¡copy ¡ addresses ¡ StackShield: ¡ • FuncGon ¡call: ¡copy ¡return ¡address ¡to ¡safer ¡locaGon ¡ ¡ ¡ ¡ ¡ ¡ ¡(beginning ¡of ¡.data) ¡ • Check ¡if ¡stack ¡value ¡is ¡different ¡on ¡funcGon ¡exit ¡ Discussion: ¡How ¡would ¡you ¡get ¡around ¡this? ¡

  13. PrevenGon ¡ local ¡ caller ¡ … ¡ EBP ¡ EIP ¡ Param1 ¡ var1 ¡ local ¡vars ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ Store ¡control ¡flow ¡ addresses ¡ informaGon ¡elsewhere ¡ StackGhost: ¡ • EncrypGng ¡the ¡return ¡address ¡ • XOR ¡with ¡random ¡value ¡on ¡funcGon ¡entrance ¡ • XOR ¡with ¡same ¡value ¡on ¡funcGon ¡exit ¡ • Per-­‑kernel ¡XOR ¡vs. ¡Per-­‑process ¡XOR ¡ • Return ¡address ¡stack ¡

  14. Countermeasures? ¡ • Stack ¡canaries ¡ ¡ • Address ¡space ¡layout ¡randomizaGon ¡ • W^X ¡ • Confinement ¡ ¡

  15. Address ¡space ¡layout ¡randomizaGon ¡(ASLR) ¡ dynamically ¡linked ¡libraries ¡(libc) ¡go ¡in ¡here ¡ heap ¡ stack ¡ .text ¡ .data ¡ .bss ¡ Env. ¡ Low ¡memory ¡ ¡ High ¡memory ¡ addresses ¡ addresses ¡

  16. Address ¡space ¡layout ¡randomizaGon ¡(ASLR) ¡ dynamically ¡linked ¡libraries ¡(libc) ¡go ¡in ¡here ¡ heap ¡ stack ¡ .text ¡ .data ¡ .bss ¡ Env. ¡ random ¡ ¡ random ¡ ¡ random ¡ ¡ 16-­‑bit ¡ 16-­‑bit ¡ 24-­‑bit ¡ offset ¡ offset ¡ offset ¡ PaX ¡implementaGon ¡for ¡example: ¡ ¡Randomize ¡offsets ¡of ¡three ¡areas ¡ • 16 ¡bits, ¡16 ¡bits, ¡24 ¡bits ¡of ¡randomness ¡ • Adds ¡unpredictability… ¡but ¡how ¡much? ¡ •

  17. DefeaGng ¡ASLR ¡ • Large ¡nop ¡sled ¡with ¡classic ¡buffer ¡overflow ¡ ¡(W^X ¡prevents ¡this) ¡ • Use ¡a ¡vulnerability ¡that ¡can ¡be ¡used ¡to ¡leak ¡address ¡informaGon ¡ (e.g., ¡prino ¡arbitrary ¡read) ¡ • Brute ¡force ¡the ¡address ¡

  18. DefeaGng ¡ASLR ¡ Brute-­‑forcing ¡example ¡from ¡reading ¡“On ¡the ¡effecGveness ¡of ¡ Address ¡Space ¡Layout ¡RandomizaGon” ¡by ¡Shacham ¡et ¡al. ¡ request ¡ Apache ¡forks ¡ off ¡child ¡process ¡ to ¡handle ¡request ¡ response ¡ Apache ¡web ¡server ¡ ¡ with ¡Oracle ¡9 ¡PL/SQL ¡ module ¡ There ¡is ¡a ¡buffer ¡overflow ¡in ¡ module ¡that ¡helps ¡process ¡ request ¡

  19. DefeaGng ¡ASLR ¡ Brute-­‑forcing ¡example ¡from ¡reading ¡“On ¡the ¡effecGveness ¡of ¡ Address ¡Space ¡Layout ¡RandomizaGon” ¡by ¡Shacham ¡et ¡al. ¡ request ¡ A9acker ¡makes ¡a ¡ ¡ Apache ¡web ¡server ¡ ¡ guess ¡of ¡where ¡usleep() ¡ with ¡Oracle ¡9 ¡PL/SQL ¡ is ¡located ¡in ¡memory ¡ module ¡ Success ¡will ¡crash ¡the ¡child ¡process ¡ ¡ Failure ¡will ¡crash ¡the ¡child ¡process ¡ ¡ aEer ¡sleeping ¡for ¡0x01010101 ¡ ¡ immediately ¡and ¡therefore ¡kill ¡connecGon ¡ microseconds ¡and ¡kill ¡connecGon ¡ If ¡on ¡64-­‑bit ¡architecture, ¡such ¡brute-­‑force ¡a9ack ¡unlikely ¡to ¡work ¡

  20. Reading ¡the ¡stack, ¡remotely ¡ Request ¡(can ¡trigger ¡buffer ¡overflow ¡in ¡stack) ¡ Apache ¡forks ¡ off ¡child ¡process ¡ to ¡handle ¡request ¡ Response ¡(unless ¡process ¡crashes) ¡ Apache ¡web ¡server ¡ ¡ local ¡ random ¡ caller ¡ … ¡ EBP ¡ EIP ¡ Param1 ¡ var1 ¡ canary ¡ local ¡vars ¡ junk ¡ x ¡ y ¡ z ¡ w x ¡ y ¡ z ¡ w Reading ¡stack ¡for ¡EBP/EIP ¡can ¡give ¡approximate ¡address ¡offset ¡

  21. ASLR ¡ Can ¡also ¡randomize ¡more ¡stuff: ¡ • InstrucGon ¡set ¡randomizaGon ¡ • per-­‑memory-­‑allocaGon ¡randomizaGon ¡ • etc. ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

599 views • 36 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

578 views • 34 slides
CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

X86 Review Process Layout, ISA, etc. CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From Last Week ACL-based permissions (UNIX style)

672 views • 28 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Diffie-Hellman, Side-channels, RNGs CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University

494 views • 26 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

933 views • 37 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

811 views • 54 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

576 views • 38 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

827 views • 39 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

636 views • 40 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

630 views • 51 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

985 views • 53 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

919 views • 47 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

603 views • 42 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

606 views • 41 slides
TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

931 views • 56 slides
Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

354 views • 33 slides
StackGuard: A Historical Perspective Crispin Cowan, PhD Senior PM, Windows Core Security

StackGuard: A Historical Perspective Crispin Cowan, PhD Senior PM, Windows Core Security

StackGuard: A Historical Perspective Crispin Cowan, PhD Senior PM, Windows Core Security Microsoft Aleph One Fires The Opening Shot Smashing the Stack for Fun and Profit Aleph One (AKA Elias Levy), Phrack 49, August 1996 It is

714 views • 27 slides
Matthew Samet msamet@tamdistrict.org 1st Period Ph.Un. - Room 120 3rd Period Ph.Un. - Room 115

Matthew Samet msamet@tamdistrict.org 1st Period Ph.Un. - Room 120 3rd Period Ph.Un. - Room 115

Matthew Samet msamet@tamdistrict.org 1st Period Ph.Un. - Room 120 3rd Period Ph.Un. - Room 115 4th Period Ph.Un. - Room 115 5th Period Ph.Un. - Room 115 7th Period Ph.Un. - Room 115 TUHSD Science Requirements: Year 1: Physics in the

300 views • 6 slides
2015 DBE/LBE Upcoming Opportunity Overview and Networking Event SAN FRANCISCO COUNTY

2015 DBE/LBE Upcoming Opportunity Overview and Networking Event SAN FRANCISCO COUNTY

2015 DBE/LBE Upcoming Opportunity Overview and Networking Event SAN FRANCISCO COUNTY TRANSPORTATION AUTHORITY Febru ruar ary y 5, 2015 Presentation Agenda 1. 1. Desc scription ription of upcomi coming ng opportun portunit ities ies

1.04k views • 79 slides
Public Safety Communications FY 2009-11 Recommended Budget June 22, 2009 Mission Statement PSC

Public Safety Communications FY 2009-11 Recommended Budget June 22, 2009 Mission Statement PSC

Public Safety Communications FY 2009-11 Recommended Budget June 22, 2009 Mission Statement PSC provides high quality law enforcement, fire, and medical dispatch and communications services to the public and public safety agencies in order to

598 views • 26 slides
Software Security (II): Other types of software vulnerabilities Dawn Song 1 Dawn Song 3 #293

Software Security (II): Other types of software vulnerabilities Dawn Song 1 Dawn Song 3 #293

Computer Security Course. Dawn Computer Security Course. Dawn Song Song Software Security (II): Other types of software vulnerabilities Dawn Song 1 Dawn Song 3 #293 HRE-THR 850 1930 ALICE SMITH COACH SPECIAL INSTRUX: NONE Dawn Song

804 views • 61 slides
Binary Exploitation 1 Buffer Overflows (return-to-libc, ROP, Canaries, W^X, ASLR) Chester

Binary Exploitation 1 Buffer Overflows (return-to-libc, ROP, Canaries, W^X, ASLR) Chester

Binary Exploitation 1 Buffer Overflows (return-to-libc, ROP, Canaries, W^X, ASLR) Chester Rebeiro Indian Institute of Technology Madras Parts of Malware Two parts Subvert execution: change the normal execution behavior of the program

1.25k views • 102 slides
DevOps + Infrastructure TRACK SUPPORTED BY About me Nils Peeters DevOps Engineer

DevOps + Infrastructure TRACK SUPPORTED BY About me Nils Peeters DevOps Engineer

DevOps + Infrastructure TRACK SUPPORTED BY About me Nils Peeters DevOps Engineer nils@scalecity.io https://www.linkedin.com/in/nilspeeters/ www.scalecity.io Containerized Drupal, Kubernetes and blue/green Down the rabbit

1.06k views • 83 slides
ASSOCIATIVE NETS AND FRAME SYSTEMS Network Representations If L is a set of labeled links and N

ASSOCIATIVE NETS AND FRAME SYSTEMS Network Representations If L is a set of labeled links and N

ASSOCIATIVE NETS AND FRAME SYSTEMS Network Representations If L is a set of labeled links and N is a set of nodes, then a network is any subset of NLN, where the order of the triples is material. Lecture 4 Associative Nets & Frames

491 views • 32 slides

More recommend