exploi ng memory corrup on vulnerabili es in the java run
play

Exploi:ng Memory Corrup:on Vulnerabili:es in the Java Run:me - PowerPoint PPT Presentation

Aug 22, 2023 •274 likes •747 views

Exploi:ng Memory Corrup:on Vulnerabili:es in the Java Run:me Joshua J. Drake December 15 th 2011 Please complete the Speaker Feedback Surveys! This will

  1. Exploi:ng ¡Memory ¡Corrup:on ¡ Vulnerabili:es ¡in ¡the ¡Java ¡Run:me ¡ Joshua ¡J. ¡Drake ¡ December ¡15 th ¡2011 ¡ Please ¡complete ¡the ¡Speaker ¡Feedback ¡Surveys! ¡ This ¡will ¡both ¡help ¡speakers ¡improve ¡and ¡help ¡Black ¡Hat ¡make ¡beHer ¡decisions ¡regarding ¡content ¡and ¡presenters ¡for ¡future ¡ events. ¡

  2. About ¡the ¡Presenter ¡ • Joshua ¡J. ¡Drake, ¡aka ¡jduck ¡ – Senior ¡Research ¡Consultant ¡with ¡Accuvant ¡LABS ¡ • Vulnerability ¡Discovery ¡& ¡Exploita:on ¡ • Binary/Source ¡Audit, ¡Reverse ¡Engineering ¡ ¡ ¡ ¡ ¡ ¡ – ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Contributor ¡ • Formerly ¡Lead ¡Exploit ¡Developer ¡

  3. Overview ¡ • Background ¡ • Hurdles ¡ • Exploi:ng ¡ • Demos ¡ • Conclusion ¡

  4. Mo:va:on ¡ • …share ¡informa:on ¡and ¡techniques ¡to ¡make ¡ Java ¡Run:me ¡Environment ¡(JRE) ¡exploita:on ¡ easier. ¡ – JRE ¡architecture ¡informa:on ¡ – Various ¡hurdles ¡encountered ¡during ¡dev ¡ • i.e. ¡CVE-­‑2009-­‑3867, ¡CVE-­‑2009-­‑3869 ¡ – Provide ¡tools ¡for ¡future ¡work ¡

  5. Background ¡ • Why ¡Java? ¡ • Popular? ¡ • Maybe ¡a ¡‘lil. ¡ More ¡claims ¡here: ¡ hHp://www.java.com/en/about/ ¡

  6. Background ¡ • Java ¡is ¡cross-­‑plaborm! ¡

  7. Background ¡ • Java ¡SE ¡6 ¡focus ¡ – Tested ¡latest ¡(6u29) ¡ – JRE ¡7 ¡GA ¡is ¡released! ¡ • Buggy… ¡ • Slow ¡adop:on… ¡ • One ¡update ¡already ¡

  8. Background ¡-­‑ ¡Security ¡ • 27 ¡updates ¡over ¡about ¡5 ¡years ¡ • Well ¡over ¡100 ¡CVEs ¡ • Targeted ¡in ¡73% ¡of ¡exploit ¡kits ¡ • 10 ¡exploits ¡in ¡ – 4 ¡Windows ¡specific ¡ – 1 ¡meatware ¡aHack ¡(java_signed_applet) ¡ – 3 ¡involve ¡memory ¡corrup:on ¡

  9. Background ¡ • What ¡does ¡the ¡“JRE” ¡include? ¡ JRE ¡ hHp://java.sun.com/products/hotspot/whitepaper.html ¡-­‑ ¡Recommended ¡Reading ¡

  10. Background ¡ • Java ¡has ¡a ¡plen:ful ¡aHack ¡surface! ¡ – Browser ¡Plug-­‑in ¡ • Automa:cally ¡installed ¡ • Applets ¡ – 70% ¡of ¡Metasploit ¡Java ¡exploits ¡use ¡Applets ¡ • “LiveConnect” ¡Java/Browser ¡interface ¡ – Java ¡Web ¡Start ¡& ¡JNLP ¡ – More ¡

  11. Background ¡-­‑ ¡Applets ¡ • AHackers ¡use ¡applets ¡because… ¡ – Applet ¡Java ¡code ¡and ¡JAR ¡contents ¡are ¡100% ¡ aHacker ¡controlled ¡ – Tons ¡of ¡na:ve ¡library ¡code ¡is ¡reachable ¡ • Images, ¡Sounds, ¡Compressors ¡and ¡more ¡ • Includes ¡embedded ¡copies ¡of ¡open ¡source ¡(zlib, ¡etc) ¡ Trusted ¡ Untrusted ¡ Signed ¡ Unsigned ¡ Runs ¡with ¡full ¡user ¡privileges ¡ Subject ¡to ¡Java ¡“sandbox” ¡ User ¡is ¡Prompted ¡ No ¡promp:ng ¡

  12. Background ¡-­‑ ¡Technical ¡ • Java ¡Virtual ¡Machine ¡(JVM) ¡ – Named ¡“HotSpot” ¡ – WriHen ¡in ¡na:ve ¡code ¡ – Processes ¡Java ¡Bytecode ¡ – Might ¡just-­‑in-­‑:me ¡compile ¡ – Executes ¡or ¡Interprets ¡ resul:ng ¡code ¡

  13. Background ¡– ¡Security ¡ • Process ¡Architecture ¡ – Plug-­‑in ¡loads ¡in ¡Browser ¡address ¡space ¡ • Includes ¡several ¡libraries ¡ – Since ¡Update ¡10 ¡ • Java.exe ¡runs ¡as ¡an ¡external ¡process ¡ ¡ • Can ¡Pass ¡op:ons ¡to ¡Java.exe ¡via ¡HTML ¡ – S:ll ¡no ¡DEP ¡ – S:ll ¡no ¡ASLR ¡

  14. Background ¡– ¡Security ¡ • All ¡JRE ¡6 ¡releases ¡ship ¡same ¡msvcr71.dll ¡ – v7.10.3052.4 ¡ • md5 ¡86f1895ae8c5e8b17d99ece768a70732 ¡ • Loads ¡in ¡all ¡components! ¡ – Browser ¡itself ¡ – Java.exe ¡for ¡applets ¡ • Public ¡ROP ¡chains ¡target ¡this ¡DLL ¡

  15. Background ¡-­‑ ¡Technical ¡ • Two ¡major ¡kinds ¡of ¡heaps ¡ – Java ¡Object ¡heap ¡(more ¡in ¡a ¡sec) ¡ – Na:ve ¡heap ¡(from ¡msvcr71.dll) ¡ • Just ¡a ¡wrapper ¡around ¡HeapAlloc ¡ – OS-­‑specific ¡allocator ¡security ¡proper:es ¡apply ¡ » ASLR ¡ » Safe-­‑unlinking ¡ Someone ¡had ¡fun! ¡ » Meta-­‑data ¡valida:on ¡ » etc ¡

  16. Background ¡-­‑ ¡Technical ¡ • Java ¡Object ¡heap ¡ – Garbage ¡Collected ¡ – Allocated ¡via ¡VirtualAlloc ¡ – Was ¡Read/Write/Execute ¡un:l ¡update ¡18 ¡!! ¡ – Predictable ¡address ¡ • Between ¡0x22000000 ¡and ¡0x26000000 ¡ • Due ¡to ¡“Class ¡Data ¡Sharing” ¡?? ¡

  17. Hurdles ¡

  18. Hurdles ¡-­‑ ¡I ¡ • Debugging ¡JVM ¡started ¡from ¡browser ¡ • Process ¡terminates ¡out ¡from ¡under ¡you! ¡ – Surprise! ¡ • Why ¡does ¡this ¡happen? ¡ Con:nue ¡aper ¡a ¡while ¡ Single ¡step ¡excep:on?! ¡ Oh ¡no! ¡Process ¡DIED! ¡

  19. Hurdles ¡-­‑ ¡Watchdog ¡ • Java ¡Plugin ¡Watchdog ¡ – Watches ¡over ¡external ¡jp2launcher.exe ¡process ¡ Java_java_lang_ProcessImpl_destroy ¡ (inside ¡java.dll) ¡ TerminateProcess ¡

  20. Hurdles ¡-­‑ ¡Watchdog ¡ • Prevent ¡the ¡watchdog ¡from ¡interfering! ¡ 1. Patch ¡up ¡the ¡“java.dll” ¡binary ¡ – NOP ¡out ¡the ¡TerminateProcess ¡call ¡ – Or ¡just ¡change ¡JNZ ¡-­‑> ¡JMP ¡ 2. Use ¡breakpoints, ¡run:me ¡patching, ¡etc ¡ – Must ¡be ¡done ¡each ¡execu:on ¡ L ¡

  21. Hurdles ¡-­‑ ¡Watchdog ¡

  22. Hurdles ¡– ¡Random ¡AVs ¡ • Spurious ¡access ¡viola:ons ¡while ¡debugging ¡ • Not ¡sure ¡why… ¡Let’s ¡speculate. ¡ – Expected ¡AV ¡in ¡JIT’d ¡code? ¡ – Crap ¡code ¡wrapped ¡in ¡catch-­‑all ¡handler? ¡ – If ¡you ¡know ¡or ¡have ¡another ¡idea, ¡speak ¡up! ¡ • Just ¡pass ¡and ¡pretend ¡its ¡not ¡happening ¡;-­‑P ¡

  23. Hurdles ¡-­‑ ¡Encoding ¡ • Java ¡uses ¡UTF-­‑8 ¡for ¡all ¡strings ¡ – Invalid ¡sequences ¡replaced ¡with ¡‘?’ ¡ • Check ¡this ¡out: ¡(from ¡@mihi42) ¡

  24. Hurdles ¡-­‑ ¡Encoding ¡ • Compile ¡and ¡run ¡it… ¡ • But ¡it ¡was ¡all ¡comments?! ¡ • Java ¡pre-­‑processes ¡those ¡UTF ¡escapes! ¡

  25. Hurdles ¡-­‑ ¡Encoding ¡ • Don’t ¡use ¡strings! ¡Use ¡arrays ¡ – Their ¡values ¡are ¡represented ¡in ¡memory ¡ con:guously ¡ • BeHer, ¡but ¡there’s ¡s:ll ¡an ¡issue… ¡

  26. Hurdles ¡– ¡Integers ¡ • In ¡Java, ¡all ¡integers ¡are ¡signed! ¡ • Use ¡next ¡larger ¡type ¡ – For ¡0xff ¡byte, ¡use ¡short ¡integer ¡ – For ¡0xffff ¡short, ¡use ¡long ¡integer ¡ – etc ¡

  27. Hurdles ¡-­‑ ¡Reachability ¡ • Code ¡that ¡seems ¡unreachable ¡at ¡first ¡ – Was ¡the ¡case ¡in ¡CVE-­‑2009-­‑3869 ¡ • You ¡can ¡reach ¡more ¡by ¡using ¡Java ¡tricks ¡ – Sub-­‑classing ¡ – Reflec:on ¡ – Abusing ¡complex ¡interfaces ¡ • i.e. ¡A ¡class ¡that ¡takes ¡an ¡instance ¡as ¡a ¡parameter ¡

  28. Exploi:ng ¡ (yay) ¡

  29. Exploi:ng: ¡Setup ¡ • Used ¡a ¡custom ¡JNI ¡(vuln_jni.dll) ¡for ¡tes:ng ¡ – Covers ¡several ¡common ¡exploit ¡primi:ves ¡

  30. Exploi:ng: ¡Arbitrary ¡Call ¡ • Fun ¡and ¡simple.. ¡ – Just ¡need ¡somewhere ¡to ¡jump! ¡ – Good ¡thing ¡JRE ¡6 ¡doesn’t ¡support ¡ASLR! ¡ • Public ¡ROPs ¡work ¡great ¡ – Nor ¡does ¡it ¡support ¡DEP! ¡ • Let’s ¡jump ¡into ¡a ¡DLL ¡.data ¡sec:on! ¡

  31. Exploi:ng: ¡Write4 ¡ • Surgical! ¡ – Need ¡to ¡target ¡something ¡used ¡for ¡control ¡flow ¡ • Must ¡know ¡it’s ¡address ¡(within ¡margin ¡of ¡error) ¡ • A ¡plethora ¡of ¡stuff ¡to ¡surgically ¡overwrite ¡ – Again, ¡lack ¡of ¡ASLR ¡/ ¡DEP ¡FTW ¡

  32. Vuln.sprinb ¡ • Here’s ¡the ¡code: ¡ • Two ¡issues ¡in ¡this ¡func:on ¡ – CWE-­‑121: ¡Stack ¡Buffer ¡Overflow ¡ – CWE-­‑134: ¡Uncontrolled ¡Format ¡String ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Exploi'ng Unpatched iOS Vulnerabili'es for Fun and Profit

Exploi'ng Unpatched iOS Vulnerabili'es for Fun and Profit

Exploi'ng Unpatched iOS Vulnerabili'es for Fun and Profit Yeongjin Jang, Tielei Wang, Byoungyoung Lee, and Billy Lau Georgia Tech Informa;on Security Center

989 views • 84 slides
Multi-core in JVM/Java Concurrent programming in java Prior Java 5 Java 5 (2006)

Multi-core in JVM/Java Concurrent programming in java Prior Java 5 Java 5 (2006)

Multi-core in JVM/Java Concurrent programming in java Prior Java 5 Java 5 (2006) Java 7 (2010) Other topics Basic concurrency in Java Java Memory Model describes how threads interact through memory Single thread

812 views • 34 slides
e Java Memory Model . Jesper qvist . . . e Java Environment . . . 2 . . e Java

e Java Memory Model . Jesper qvist . . . e Java Environment . . . 2 . . e Java

. e Java Memory Model . Jesper qvist . . . e Java Environment . . . 2 . . e Java Environment . . . 3 . . Java Execution . Possible reordering due to Compiler, JVM, or CPU! Plus visibility problems due to CPU caches! .

473 views • 21 slides
Search for the Memory Duplicities in the Java Applications Using Shallow and Deep Object

Search for the Memory Duplicities in the Java Applications Using Shallow and Deep Object

Reliable Software Architectures research group Search for the Memory Duplicities in the Java Applications Using Shallow and Deep Object Comparison RICHARD LIPKA, TOM POTUK FedCSIS 2019, 2. SEPTEMBER Memory issues in Java Memory leaks

565 views • 18 slides
The Java Memory Model Jaroslav Sev c k University of Edinburgh Supported by ITI

The Java Memory Model Jaroslav Sev c k University of Edinburgh Supported by ITI

The Java Memory Model Jaroslav Sev c k University of Edinburgh Supported by ITI Techmedia The Java Memory Model p. 1/30 Overview Part I : Motivation for weak memory models: Compromise between standard optimisations and

813 views • 46 slides
Exploi'ng Leakage in Searchable Encryp'on and Machine

Exploi'ng Leakage in Searchable Encryp'on and Machine

Exploi'ng Leakage in Searchable Encryp'on and Machine Learning Tom Ristenpart Covering joint work with : David Cash, Paul Grubbs, Jason Perry

875 views • 56 slides
Sta$cDetec$onofSecurity Vulnerabili$esinScrip$ngLanguages

Sta$cDetec$onofSecurity Vulnerabili$esinScrip$ngLanguages

Sta$cDetec$onofSecurity Vulnerabili$esinScrip$ngLanguages ResearchbyYichenXie,AlexAikenof StanfordUniversity PresentedbyAdamBergstein Outline Background PHP

459 views • 41 slides
Interna'onal Prosecu'on of Grand Corrup'on Akaash Maharaj GOPAC

Interna'onal Prosecu'on of Grand Corrup'on Akaash Maharaj GOPAC

Interna'onal Prosecu'on of Grand Corrup'on Akaash Maharaj GOPAC Chief Execu've Officer UNCAC IRG Special Measures Panel 04 June 2015 About GOPAC

615 views • 15 slides
JAVA Java vs. Java Java Language Specification

JAVA Java vs. Java Java Language Specification

BR 10/05 JAVA Java vs. Java Java Language Specification http://java.sun.com/docs/books/jls/second_edition/html/j.title.doc.html Java programming language is compiled into java byte code Java Virtual Machine Specification

1.07k views • 44 slides
Java for OOP Objects de-mystified Christoph Angerer Java Virtual Machine VM Heap Program

Java for OOP Objects de-mystified Christoph Angerer Java Virtual Machine VM Heap Program

Java for OOP Objects de-mystified Christoph Angerer Java Virtual Machine VM Heap Program Memory (Program Code (Classes, JIT Memory) etc.) Reads Internal use Virtual Machine Slide 2 Runtime Model public class BankAccount {

307 views • 30 slides
A Bit of Algebra Massive Amounts of In-memory Key/Value Storage + In-Memory Search + Java == NoSQL

A Bit of Algebra Massive Amounts of In-memory Key/Value Storage + In-Memory Search + Java == NoSQL

A Bit of Algebra Massive Amounts of In-memory Key/Value Storage + In-Memory Search + Java == NoSQL Killer? A bit of Algebra Massive Amounts of In-memory Key/Value Storage + In-Memory Search + Java == NoSQL Killer? Kunal Bhasin, Deputy CTO,

793 views • 44 slides
Today More on memory bugs Java vs C, the ba:le.

Today More on memory bugs Java vs C, the ba:le.

University of Washington Today More on memory bugs Java vs C, the ba:le. 1 University of Washington Memory-Related Perils and PiAalls

603 views • 46 slides
Lo Locally Differentially Private Frequency Es Esti timati tion on Ex Exploi oiti ting Con

Lo Locally Differentially Private Frequency Es Esti timati tion on Ex Exploi oiti ting Con

Lo Locally Differentially Private Frequency Es Esti timati tion on Ex Exploi oiti ting Con Consi sistency Tianhao Wang Purdue University Joint work with Milan Lopuha-Zwakenberg, Zitao Li, Boris Skoric, Ninghui Li 1 Privacy in

336 views • 14 slides
Patterns for Safety-Critical Java Memory Usage Juan Rios 1 Kelvin Nilsen 2 Martin Schoeberl 1 1

Patterns for Safety-Critical Java Memory Usage Juan Rios 1 Kelvin Nilsen 2 Martin Schoeberl 1 1

Motivation Contribution Summary Patterns for Safety-Critical Java Memory Usage Juan Rios 1 Kelvin Nilsen 2 Martin Schoeberl 1 1 Department of Informatics and Mathematical Modelling Technical University of Denmark 2 Atego Systems, Inc. Java

448 views • 33 slides
Memory Usage Estimation for Java Smart Cards G ERARDO S CHNEIDER IRISA/INRIA - R ENNES , F RANCE

Memory Usage Estimation for Java Smart Cards G ERARDO S CHNEIDER IRISA/INRIA - R ENNES , F RANCE

Memory Usage Estimation for Java Smart Cards G ERARDO S CHNEIDER IRISA/INRIA - R ENNES , F RANCE CASTLES: Conception dAnalyses Statiques et de Tests pour le Logiciel Embarqu e S ecuris e NWPT04 - Uppsala, 06 October 2004 Memory

828 views • 43 slides
The need for a formal model of Java Safety guarantees of Java definedness type safety

The need for a formal model of Java Safety guarantees of Java definedness type safety

Making the Java Memory Model Safe Andreas Lochbihler Institute for Information Security ETH Zurich supported by DFG Sn11/10-1,2 The need for a formal model of Java Safety guarantees of Java definedness type safety security

595 views • 44 slides
The Java Virtual Machine The Java Virtual Machine interpret compile Native Binary Code Michael

The Java Virtual Machine The Java Virtual Machine interpret compile Native Binary Code Michael

Virtual Machines in Compilation Virtual Machines in Compilation Abstract Syntax Tree compile Compilation 2007 Compilation 2007 Virtual Machine Code The Java Virtual Machine The Java Virtual Machine interpret compile Native Binary Code

541 views • 11 slides
WIT COMP1000 Introduction to Computing Wentworth Institute of Technology Engineering &

WIT COMP1000 Introduction to Computing Wentworth Institute of Technology Engineering &

Wentworth Institute of Technology Engineering & Technology WIT COMP1000 Introduction to Computing Wentworth Institute of Technology Engineering & Technology A Bit of History 2 WIT COMP1000 Do. Learn. Succeed. Wentworth Institute of

401 views • 12 slides
CSE543 - Computer and Network Security Module: Virtualization Professor Trent Jaeger 1 CSE543

CSE543 - Computer and Network Security Module: Virtualization Professor Trent Jaeger 1 CSE543

308 views • 29 slides
The Java Virtual Machine Martin Schberl Overview Review Java/JVM JVM Bytecodes

The Java Virtual Machine Martin Schberl Overview Review Java/JVM JVM Bytecodes

The Java Virtual Machine Martin Schberl Overview Review Java/JVM JVM Bytecodes Bytecode examples Class information Parameter passing On projects JVMHW The Java virtual machine 2 Java System Overview JVMHW The Java

688 views • 46 slides
Virtual Machines Philipp Koehn 30 April 2018 Philipp Koehn Computer Systems Fundamentals:

Virtual Machines Philipp Koehn 30 April 2018 Philipp Koehn Computer Systems Fundamentals:

Virtual Machines Philipp Koehn 30 April 2018 Philipp Koehn Computer Systems Fundamentals: Virtual Machines 30 April 2018 Basic Idea 1 Run multiple instances of full operating systems on a machine Example: run Windows and Linux on a

573 views • 32 slides
Fifi: An Architecture to Realize Self-evolving of Java Program Ming-Yang Hou Xi-Yang Liu He-Hui

Fifi: An Architecture to Realize Self-evolving of Java Program Ming-Yang Hou Xi-Yang Liu He-Hui

Fifi: An Architecture to Realize Self-evolving of Java Program Ming-Yang Hou Xi-Yang Liu He-Hui Liu ehmy@263.net xyliu@xidian.edu.cn hhliu@mail.xidian.edu.cn Software Engineering Institute Xidian University, China ICSE 2006 Workshop on

675 views • 18 slides
02 B The Java Virtual Machine CS1102S: Data Structures and Algorithms Martin Henz January 22,

02 B The Java Virtual Machine CS1102S: Data Structures and Algorithms Martin Henz January 22,

Motivation for JVM Virtual Machine Overview A Quick Tour of the JVM 02 B The Java Virtual Machine CS1102S: Data Structures and Algorithms Martin Henz January 22, 2010 Generated on Friday 22 nd January, 2010, 09:46 CS1102S: Data Structures and

1.83k views • 60 slides
Exploiting type systems and static analyses for smart card security Xavier Leroy INRIA

Exploiting type systems and static analyses for smart card security Xavier Leroy INRIA

Exploiting type systems and static analyses for smart card security Xavier Leroy INRIA Rocquencourt & Trusted Logic 1 Outline 1. What makes strongly typed programs more secure? 2. Enforcing strong typing (bytecode verification). 3.

828 views • 45 slides

More recommend