Cours

Les buffer overflows
Dfinition, Mise en vidence du problme, Solutions DCSSI Avril 2005
Les buffer overflows Nicolas Dube Secway http://www.secway.fr/
Plan de la prsentation
Introduction aux vulnrabilits des programmes informatiques Description du problme des BO Exploitation des BO Solutions et prvention des BO
Introduction
lments danalyse des risques Dfinition de ce quest une vulnrabilit informatique Typologie et caractristiques des vulnrabilits
Introduction
La scurit vise limiter des risques un niveau acceptable Un risque est fonction dune menace, de vulnrabilits et dventuelles contre-mesures Le risque va influencer sur les paramtres de:
Confidentialit Intgrit Disponibilit de linformation
Analyse des risques

Formule usuelle :
Menace Vulnrabilits Risque = Contremesures

Le potentiel de la menace est augment par les vulnrabilits Limpact est rduit par dventuelles contre-mesures Permet dtablir a priori une hirarchie des risques
Quest ce quune vulnrabilit ?

Une vulnrabilit est une faiblesse inhrente dun objet En informatique, on peut distinguer:
Fautes de conception Fautes dimplmentation (implantation) Fautes dutilisation
Mise en vidence des vulnrabilits
Fautes de conception
Systme vulnrable avant mme sa ralisation technique Exemples de vulnrabilits inhrentes des algorithmes de chiffrement
Involontaires : algorithmes faibles par conception Volontaires : introduction de portes drobes dans lalgorithme
Exemple de vulnrabilit dun systme informatique

Les imprimantes rseaux sont souvent configurables par Web, certains modles ne peuvent pas tre protgs par mot de passe La conception na pas pens quun mot de passe serait ncessaire pour protger linterface Web Possibilit de reconfigurer limprimante distance
Fautes dimplmentation (1)

Aussi appeles Fautes dimplantation ou de dveloppement Vulnrabilits introduites (volontairement ou non) dans le code source du systme Lors dune introduction volontaire de vulnrabilits, on parle de backdoor Lors dune introduction involontaire, on parle de faille
Fautes dimplmentations (2)
Consquences des failles

Selon leur gravit, ces problmes peuvent tre utiliss pour:
Rcuprer de linformation Faire planter le systme affect Prendre compltement le contrle du systme affect
Dans ce dernier cas, on dit que la vulnrabilit est exploitable

Remote et Local exploits

Dans le jargon scurit, un programme dattaque utilisant une faille dun systme pour en prendre le contrle ou le faire planter est appel un exploit . On parle de:
Remote exploit lorsque lattaque est possible distance Local exploit lorsquil faut un accs pralable au systme avant de pouvoir lancer lattaque
Comment sont dcouvertes les vulnrabilits ?

Recherche active de failles par la communaut scurit
tude du code source ou des binaires quipes daudit de socits informatiques, spcialistes scurit ou diteurs de logiciels Groupes de pirates
Lorsque faille rendue publique, lditeur du logiciel affect sort un patch (correctif) Les pirates essaient souvent de garder les failles prives : 0day exploit.
Grandes familles de failles de programmation

Non filtrage des mtacharactres dont:
Injection SQL Scripts CGI/Perl avec appels Shell
Format strings Buffers overflows
Les buffers overflows

Introduction aux BO Rappels sur la mmoire et les microprocesseurs Exploitation des BO Solutions
Introduction
Buffer = zone mmoire rserve par un programme pour y stocker/lire/crire des donnes Les buffers overflows (BO) sont une grande famille de failles dimplmentation La plupart des failles publies depuis des annes sont des BO ou assimils Premier BO connu : 1989, le Morris Worm utilise un BO dans finger sous Unix Redcouvert en 1995 par Thomas Lopatic (DE) avec dmonstration (exploit) sur HP-UX
Petite anecdote
La premire exploitation connue grande chelle dun BO a t le Morris Worm Ver (virus) programm par le fils dun directeur de la recherche de la NSA
Aperu gnral des BO

Un buffer overflow est une faute dimplmentation consistant dborder de la mmoire alloue pour une opration La plupart des BO dus au programmeur ne vrifiant pas les tailles mmoires avant deffectuer des oprations de copie Les BO sont trs courants dans les programmes crits en langages dits bas niveaux comme le C ou C++
Conditions darrive dun BO

Plateforme et langages de programmation ne vrifiant pas les oprations mmoire faites par le programmeur
C, C++ pour des raisons de rapidit Cest au programmeur de sassurer de la validit des oprations quil fait !
Oprations mmoires de lecture/criture/copie Non (ou mauvaise) vrification des oprations mmoires
Exemples de fonctions C pouvant gnrer des BO

si on ne vrifie pas avant de les appeler strcpy() strcat() sprintf() gets() scanf(), fscanf(), sscanf() Potentiellement, toute fonction crite par le dveloppeur et faisant des accs la mmoire
Exemple de BO (1)
Programme en langage C :
char *nom; char *buf; buf = (char *) malloc(1024); Rserve 1024 octets de mmoire pour buf Demande lutilisateur de rentrer du texte au clavier, met ce texte dans buf. Cre une variable buf
scanf(%s, buf);
Exemple de BO (2)
Constats sur le programme prcdent
On alloue 1024 octets On demande lutilisateur de rentrer du texte et on le met dans les 1024 octets rservs prcdemment
La fonction utilise scanf ne vrifie pas si la taille du texte est bien infrieure 1024 octets Dans le cas contraire, scanf continuera copier le texte tap en mmoire aprs nos 1024 octets !
Exemple de BO (3)
Vue mmoire des oprations
Mmoire de lordinateur
Partie de la mmoire rserve pour buf
montrer un BO
Opration scanf()
Ceci est un test de long texte pour
Partie de la mmoire rserve pour buf
Les buffer overflows Nicolas Dube Secway http://www.secway.fr/ Bas de la mmoire
Consquences dun BO
Des informations en mmoire sont potentiellement crases Au mieux, crash du programme
Arrive la fin de la mmoire rserve au programme crasement de zones vitales pour le programme
Au pire, manipulation de cases mmoires importantes et incidences scurit

Exploitation des BO
Lexploitation revient craser des zones mmoires sensibles
Adresses de retour ou pointeurs sur fonctions Variables mmoires importantes (nom dutilisateur, ) Variables internes du systme ou programme

Rappels gestion de la mmoire (1)

Un programme a des besoins en mmoire quil peut adresser de plusieurs faons diffrentes Les architectures classiques utilisent deux types de mmoire
La pile (stack) pour les variables dites automatiques Le tas (heap) pour les espaces mmoires globaux allous dynamiquement Le programmeur dispose de la pile et du tas comme il le souhaite
Les buffers overflows crasent donc des parties de la pile ou du tas, selon le code du programme
La pile (stack) (1)

La pile est un emplacement mmoire o lon peut mettre (empiler), lire, modifier, enlever (dpiler) des lments
Les piles descendent dans la mmoire Technique LIFO: Last In, First Out Oprations PUSH (empiler un lment) et POP (dpiler un lment)
Chaque fonction a, au moment de son excution, son propre morceau de pile (stack frame)
A la fin de la fonction, destruction de sa pile
Les compilateurs sen servent pour mettre les variables dynamiques des fonctions Sur la pile sont aussi stockes des informations systmes (cf. plus loin)
La pile (stack) (2)
Le tas (heap) (1)

Le tas est une autre partie de la mmoire globale du programme Le plus souvent situ aprs la fin du programme et de ses donnes
Organis sous forme de listes
Les fonctions peuvent rserver des parties du heap en appelant malloc

Mmoire alloue prserve la sortie de la fonction
(ptr=malloc(taille)) et librer cette mmoire avec free (free(ptr))

Le tas (heap) (2)
Rappels sur les fonctions

On regarde maintenant au niveau CPU
Langage C -> Assembleur -> CPU
Appel dune fonction

le CPU empile ladresse de retour Instruction CALL, fait implicitement un PUSH
Retour dune fonction (return en C)

le CPU dpile ladresse, positionne le pointeur dinstruction courante cette adresse Instruction RET, fait implicitement un POP
Adresse de retour = adresse juste aprs le CALL dans la fonction qui appelle
Illustration niveau CPU
Illustration niveau mmoire

Techniques dexploitation
Buffers dans la stack
Modification de variables importantes sur la stack Modification de ladresse de retour vers autre partie du programme Modification de lAR vers un buffer en stack Modification de lAR vers un buffer hors stack Modification de lAR vers fonction de la LIBC
Buffers dans le heap

Les stack overflows (1)

Le buffer vulnrable est situ sur la stack dune fonction Le pirate peut faire dborder ce buffer avec des donnes quil contrle Il peut donc aller craser ladresse de retour de la fonction Et ainsi, dtourner le programme lors du RET
Retour non pas vers la fonction appelante, mais vers nimporte quel endroit de la mmoire !

Retour vers le programme lui-mme

Retour du programme vers une partie de la mmoire que lon contrle Par exemple, le dbut du buffer vulnrable On peut y placer notre propre code assembleur, souvent appel shellcode Qui sera excut au RET de fin de fonction !
Le shellcode
Code machine (binaire), souvent dvelopp en assembleur Va tre excut par le CPU la suite de loverflow Trs souvent, ce code excute un shell Unix Afin de palier au problme de la prdiction des adresses, de nombreuses instructions NOP (0x90) mises au dbut de ce buffer
Les stacks overflows (6)

Une protection courante contre ce type dexploit consiste interdire lexcution de code sur la stack Protection contourne par des variations sur ladresse de retour:
Au lieu de la stack, on retourne vers un autre endroit que lon contrle On peut aussi retourner directement dans des fonctions du systme dexploitation (Return into LibC)
Les stacks overflows (6)

Return into LibC: Exemple de Linux
Les fonctions systmes sont appeles au travers dune librairie dite libc Les arguments des fonctions appeles sont mis sur la stack On peut donc overflower notre buffer, mettre ladresse dune fonction libc la place de ladresse de retour, puis les arguments
Protection: randomization des adresses libc

Les heap overflows (1)

Les gestionnaires de heap mettent des informations devant/derrire chaque bloc Possibilit dcraser ces informations Selon comment le gestionnaire utilise ces informations, possibilit dcraser de la mmoire Le + souvent, attaque indirecte sur ladresse de retour en stack:
On met dans ces en-ttes ladresse dans la mmoire de ladresse de retour sur la stack (ouf!) La prochaine opration type malloc/free va modifier ladresse de retour selon nos desiderata
Les heap overflows (2)

Frquents sous Windows car OS et nombreuses applications crites en C++ Les objets crs avec new en C++ sont placs sur le tas Lexploitation des HO est aise sous Windows, car le tas contient beaucoup dinformations importantes
SEH Pointeurs de fonctions

Prvention vs. protection

Les seules mthodes compltement sres seraient de:
De bien programmer Les rendre impossibles de faon inhrente (langages avec vrification)
Mthodes ralistes:
Auditer le code de manire proactive Rendre lexploitation extrmement difficile
criture scurise
La complexit des dveloppements est dj assez consquente Les programmeurs ne disposent souvent pas des comptences scuritaires Lcriture scurise relve dun vritable art
Mme les produits de scurit sont affects, ex: ISS RealSecure, rcentes failles Checkpoint FW-1
Les possibilits dintroduire involontairement des failles sont nombreuses La smantique mme des langages est parfois trompeuse
Exemples : strncpy(dst, src, nbr), snprintf()
Audit proactif de code (1)

Logiciels ayant du vcu
Nombreux audits, chacun ayant apport leurs dcouvertes Failles encore dcouvertes mais plus rarement et surtout trs complexes (ex: Sendmail < 8.12.8, < 8.12.9, < 8.12.10 17/9/2003) Cas particulier Windows: failles non complexes mais protocoles et programmes complexes
Nouveaux logiciels
De nombreux logiciels intgrent maintenant ds leur origine la programmation scurise Mais les erreurs se rptent ex: OpenSSH chall < 3.4
Audit proactif de code (2)

Le projet OpenBSD
Dvelopper un systme dexploitation orient scurit Logiciels inclus dans OpenBSD vrifi par une quipe dauditeurs Trs bons rsultats, beaucoup moins de failles dcouvertes sur OpenBSD Systme recommand pour les serveurs Web, DNS, FTP, Mail Quelques failles dcouvertes par an, problme des logiciels additionnels
Sardonix
Projet pour laudit du code open source Financ par le DARPA amricain Principalement orient Linux (driv du projet LSAP) Mcanisme de classement des auditeurs chec complet
Audit de code (3)

Initiative Microsoft
Bill Gates: Security is our biggest challenge ever Audit proactif du code Windows par quipes internes Aussi auditeurs de socits spcialises, mais travaux tenus secrets (ex: AtStake) Correctifs inclus dans les Service Packs et mises jour WindowsUpdate, non documents Intgration par dfaut de la scurit dans les nouveaux OS (Windows 2003 Server, XP SP2, Microsoft Visual Studio .NET)
Mthodes pour laudit de code source

Audit de code manuel : inspection des lignes de code par un auditeur
Dpend grandement de la comptence de lauditeur et du temps pass dessus Ex: ISS X-Force, faille Sendmail sept. 2003. Plusieurs jours passs sur quelques dizaines de lignes de code
Inspection automatise
Logiciels danalyse du code source Ex: RATS, LINT Souvent peu efficaces, seules failles les plus videntes dcouvertes Les outils existants sont peu volus Dautres mthodes automatises plus intressantes Problme de laudit de logiciels propritaires
Mthodes pour laudit de binaires (1)

Analyse inverse
Retrouver le code source partir du binaire Revient de ltude de code source Le langage est alors lassembleur Outils dsassembleurs (analyse hors ligne) : IDA, WDASM Outils debuggers (analyse en ligne) : SoftIce, OllyDbg, IDA (dernires versions) Exemple de faille dcouverte par analyse inverse : DCOM/RPC par groupe polonais LSD, juin 2003
Mthodes pour laudit de binaires (2)

Outils en ligne
Profilers permettant de suivre les oprations mmoire
Instrument le code et vrifient toutes les oprations mmoire Normalement utiliss pour trouver les fuites de mmoire Exemple: Rationale Purify (IBM)
Fuzzers permettant dinjecter automatiquement des entres non usuelles

Rsultats assez intressants Permettent de dcouvrir des failles complexes criture dun protocole de test ensuite appliqu toutes les implmentations dun mme standard ou envoi direct Ncessitent cependant la comprhension complte du protocole dentre pour tre performants Exemples: Spike (Immunity), PROTOS (University dOulu)
Constats
Les mthodes prcdentes sont
Coteuses Difficiles Peu efficaces
Les failles resteront, il faut essayer de limiter leur impact Nous allons maintenant tudier les mthodes permettant de limiter limpact des failles
Sparation des privilges (1)

Un programme rseau peut tre dcoup en deux parties:
Un processus pre de contrle, privilgi (root) Un processus fils de communication rseau recevant et traitant les donnes, non privilgi et restreint Les deux communiquent par tubes
Le processus pre est trs simple, do risques doverflows limits Exemple: sparation des privilges dans OpenSSH, overflows rcents

Nempche pas les overflows, mais limite leur porte Ncessite la rcriture des logiciels Certaines parties du programme seront cependant toujours exposes

Cas OpenSSH :
Systmes des canaris StackGuard (1)

Modification du compilateur GCC pour intgrer un mcanisme anti-overflow dans chaque appel de fonction Disponible sous Linux A chaque appel de fonction, un nombre alatoire (canari) est plac sur la stack juste en dessous de ladresse de retour Lors du retour de la fonction, un mcanisme vrifie automatiquement si ce canari na pas chang En cas de changement, le programme est tu et une alerte est inscrite dans les journaux de lOS Extension : lAR est elle-mme XORe avec le canari
Systmes des canaris StackGuard (2)

Limitations:
Impact sur les performances (faibles cependant) Ncessite de recompiler les programmes Ne protge que lAR dans les stack overflows
En cas doverflow nallant pas jusqu lAR, protection inefficace
Nagit quau retour de la fonction

en cas doverflow qui impacterait le programme avant le retour de la fonction, protection inefficace
Systmes des canaris - Propolice

Projet dIBM Japon utilisant une technique similaire StackGuard mais tendue Utilis dans les nouvelles versions de lOS OpenBSD En plus des canaris, ProPolice rordonne les variables dans la stack En plaant les buffers aprs les autres variables (notamment aprs pointeurs) Pour viter loverflow dcraser des pointeurs
Dplacement de lAR - StackShield (1)

Ide initiale : sparation des informations de contrle (AR) et des donnes Modification du compilateur consistant enlever ladresse de retour de la stack Pour la stocker dans une partie ddie de la mmoire A chaque entre dans une fonction, copie de lAR hors de la stack; chaque sortie, recopie vers la stack
Dplacement de lAR StackShield (2)

Limitations:
Ne protge pas contre la corruption de donnes sur la stack
Dont potentiellement des pointeurs pouvant tre utiliss pour craser dautres donnes en mmoire, comme fnlist de on_exit()
Ne protge pas contre les heap overflows

De plus en plus courants depuis papiers expliquant comment les exploiter
StackShield nest plus maintenu, donc pas utiliser

Stack non excutable (1)

Mthode introduite par Solar Designer (http://www.openwall.com/) Consiste interdire lexcution de code sur la pile Lendroit de la mmoire o est la pile est marqu comme non excutable En cas dexcution, une exception est dclenche, le programme est tu, une alerte est enregistre Implment au niveau du processeur et des systmes dexploitation
Linux (patch OpenWall pour les noyaux Linux) Solaris (activ dans /etc/system) Autres systmes Unix propritaires
Stack non excutable (2)

Limitations:
Ne protge pas contre les heap overflows Ne protge pas contre lexcution de code hors de la stack (dans le tas par ex.) Ncessite un noyau modifi Incompatible avec certains compilateurs (trampolines GCC) et gestion des signaux Linux, le patch prend cependant en compte ces cas
Tas non excutable

On empche toute excution de code dans le tas Limitations:
Ne prvient pas les retours dans la libc Ne prvient pas contre les retours dans la stack Ncessite un noyau modifi
Randomization des segments

Afin de limiter lexcution de code hors stack, possibilit de placer les segments alatoirement en mmoire Lors du dmarrage du programme, lOS choisit alatoirement o placer les diffrentes sections de programme Ainsi, le pirate ne peut prvoir o se situera le code quil veut excuter
En pratique
Prises indpendamment, les solutions prcdentes sont perfectibles On utilise donc une combinaison de ces techniques Des implmentations de ces techniques sont fournies sous forme de patchs pour GCC ou de patchs pour les kernels
Solutions actuelles (1)

Patchs OpenWall pour Linux
http://www.openwall.com/linux/ Stack non excutable + dautres modifications
StackGuard
http://www.immunix.org/stackguard.html Modification de GCC pour introduire des canaris
Systme dexploitation OpenBSD 3.4

http://www.openbsd.org/ SSP (nouveau nom de ProPolice), canaris W^X, mmoire soit modifiable, soit excutable
Patchs PaX pour Linux

http://pax.grsecurity.net/ Implmentation disponible pour Linux sur processeurs x86 Mmoire soit modifiable, soit excutable Randomization des mappings mmoire
Solutions actuelles (2)

Certains Linux intgrent directement les modifications OpenWall, StackGuard ou PaX:
OpenWall: Owl Linux (http://www.openwall.com) StackGuard: Immunix (http://www.immunix.org/) PaX: GRSEC (http://www.grsecurity.net/)
Cas particulier de Windows:

Les nouveaux compilateurs Visual Studio .NET offrent la possibilit dun mcanisme de canaris Tout le code de Windows 2003 Server est compil avec ces canaris
Conclusion
Les buffers overflows, un problme rel Des techniques dattaque dune sophistication extrme Auxquelles rpondent des techniques de protection complexes ! Pour couvrir un rel besoin, en attendant des programmes et systmes sans bugs

Cours

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cours

Uploaded by

Copyright:

Available Formats

Les buffer overflows

Dfinition, Mise en vidence du problme, Solutions DCSSI Avril 2005

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Analyse des risques

Menace Vulnrabilits Risque = Contremesures

Quest ce quune vulnrabilit ?

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Mise en vidence des vulnrabilits

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Exemple de vulnrabilit dun systme informatique

Fautes dimplmentation (1)

Fautes dimplmentations (2)

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Consquences des failles

Dans ce dernier cas, on dit que la vulnrabilit est exploitable

Remote et Local exploits

Comment sont dcouvertes les vulnrabilits ?

Grandes familles de failles de programmation

Format strings Buffers overflows

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Les buffers overflows

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Aperu gnral des BO

Conditions darrive dun BO

Exemples de fonctions C pouvant gnrer des BO

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Partie de la mmoire rserve pour buf

Ceci est un test de long texte pour

Partie de la mmoire rserve pour buf

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/ Bas de la mmoire

Au pire, manipulation de cases mmoires importantes et incidences scurit

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Les buffers overflows

Rappels gestion de la mmoire (1)

La pile (stack) (1)

La pile (stack) (2)

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Le tas (heap) (1)

Les fonctions peuvent rserver des parties du heap en appelant malloc

(ptr=malloc(taille)) et librer cette mmoire avec free (free(ptr))

Le tas (heap) (2)

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Rappels sur les fonctions

Appel dune fonction

Retour dune fonction (return en C)

Illustration niveau CPU

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Illustration niveau mmoire

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Les buffers overflows

Buffers dans le heap

Les stack overflows (1)

Les stack overflows (2)

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Les stack overflows (3)

Les stack overflows (4)

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Les stack overflows (5)

Les buffer overflows Nicolas Dube Secway http://www.secway.fr/

Les stacks overflows (6)

Les stacks overflows (6)

Protection: randomization des adresses libc