La aleatorización del diseño del espacio de direcciones ( ASLR ) es una técnica de seguridad informática implicada en la prevención de la explotación de vulnerabilidades de corrupción de memoria . [1] Para evitar que un atacante redirija de manera confiable la ejecución del código a, por ejemplo, una función explotada particular en la memoria, ASLR organiza aleatoriamente las posiciones del espacio de direcciones de las áreas de datos clave de un proceso , incluida la base del ejecutable y las posiciones de la pila , el montón y las bibliotecas .
El proyecto Linux PaX fue el primero en acuñar el término "ASLR" y publicó el primer diseño e implementación de ASLR en julio de 2001 como un parche para el núcleo de Linux. Se lo considera una implementación completa, que proporciona un parche para la aleatorización de la pila del núcleo desde octubre de 2002. [2]
El primer sistema operativo convencional que admitió ASLR de forma predeterminada fue OpenBSD versión 3.4 en 2003, [3] [4] seguido por Linux en 2005.
La aleatorización del espacio de direcciones dificulta algunos tipos de ataques de seguridad al hacer que sea más difícil para un atacante predecir las direcciones de destino. Por ejemplo, los atacantes que intentan ejecutar ataques de retorno a libc deben localizar el código que se va a ejecutar, mientras que otros atacantes que intentan ejecutar el código shell inyectado en la pila deben encontrar la pila primero. En ambos casos, el sistema hace que las direcciones de memoria relacionadas sean impredecibles desde el punto de vista de los atacantes. Estos valores deben adivinarse y, por lo general, una suposición errónea no se puede recuperar debido a que la aplicación se bloquea.
La aleatorización del diseño del espacio de direcciones se basa en la baja probabilidad de que un atacante adivine las ubicaciones de áreas ubicadas aleatoriamente. La seguridad aumenta al aumentar el espacio de búsqueda. Por lo tanto, la aleatorización del espacio de direcciones es más efectiva cuando hay más entropía presente en los desplazamientos aleatorios. La entropía aumenta ya sea aumentando la cantidad de espacio del área de memoria virtual sobre la que se produce la aleatorización o reduciendo el período durante el cual se produce la aleatorización. El período generalmente se implementa lo más pequeño posible, por lo que la mayoría de los sistemas deben aumentar la aleatorización del espacio de VMA.
Para vencer la aleatorización, los atacantes deben adivinar con éxito las posiciones de todas las áreas que desean atacar. En el caso de áreas de datos como la pila y el montón, donde se puede cargar código personalizado o datos útiles, se puede atacar más de un estado mediante el uso de diapositivas NOP para el código o copias repetidas de datos. Esto permite que un ataque tenga éxito si el área se aleatoriza a uno de un puñado de valores. Por el contrario, las áreas de código como la base de la biblioteca y el ejecutable principal deben descubrirse con exactitud. A menudo, estas áreas están mezcladas, por ejemplo, se inyectan marcos de pila en la pila y se devuelve una biblioteca a ella.
Se pueden declarar las siguientes variables:
mmap()
la base)mmap()
entropía base)Para calcular la probabilidad de éxito de un atacante, se debe suponer una cantidad de intentos α realizados sin ser interrumpidos por un IPS basado en firmas, la aplicación de la ley u otro factor; en el caso de fuerza bruta, el demonio no se puede reiniciar. También se debe calcular la cantidad de bits relevantes y cuántos se atacan en cada intento, dejando la cantidad de bits que el atacante tenga que derrotar.
Las siguientes fórmulas representan la probabilidad de éxito para un conjunto dado de α intentos en N bits de entropía.
En muchos sistemas, puede ser de miles o millones. En sistemas de 32 bits, una cantidad típica de entropía N es de 8 bits. [5] Para las velocidades de las computadoras de 2004, Shacham y sus colaboradores afirman que "... 16 bits de aleatorización de direcciones pueden ser derrotados por un ataque de fuerza bruta en cuestión de minutos". [6] (La afirmación de los autores depende de la capacidad de atacar la misma aplicación varias veces sin demora. Las implementaciones adecuadas de ASLR, como la incluida en grsecurity, proporcionan varios métodos para hacer que tales ataques de fuerza bruta sean inviables. Un método implica evitar que un ejecutable se ejecute durante una cantidad de tiempo configurable si se ha bloqueado una cierta cantidad de veces). En los sistemas modernos de 64 bits , estas cifras suelen alcanzar los millones al menos. [ cita requerida ][update]
Android, [7] [ se necesita una fuente no primaria ] y posiblemente otros sistemas, [¿ cuáles? ] implementan la aleatorización del orden de carga de bibliotecas , una forma de ASLR que aleatoriza el orden en el que se cargan las bibliotecas. Esto proporciona muy poca entropía. A continuación, se muestra una aproximación de la cantidad de bits de entropía suministrados por biblioteca necesaria; esto aún no tiene en cuenta los distintos tamaños de biblioteca, por lo que la entropía real obtenida es realmente algo mayor. Los atacantes generalmente necesitan solo una biblioteca; las matemáticas son más complejas con varias bibliotecas, y también se muestran a continuación. El caso de un atacante que usa solo una biblioteca es una simplificación de la fórmula más compleja para .
Estos valores tienden a ser bajos incluso para valores grandes de l , lo que es más importante porque los atacantes normalmente solo pueden usar la biblioteca estándar de C y, por lo tanto, a menudo se puede asumir que . Sin embargo, incluso para una pequeña cantidad de bibliotecas, aquí se ganan algunos bits de entropía; por lo tanto, es potencialmente interesante combinar la aleatorización del orden de carga de la biblioteca con la aleatorización de la dirección VMA para ganar algunos bits adicionales de entropía. Estos bits adicionales de entropía no se aplicarán a otros segmentos mmap(), solo a las bibliotecas.
Los atacantes pueden utilizar varios métodos para reducir la entropía presente en un espacio de direcciones aleatorio, desde simples fugas de información hasta atacar múltiples bits de entropía por ataque (por ejemplo, mediante pulverización de heap ). No hay mucho que se pueda hacer al respecto.
Es posible filtrar información sobre la distribución de la memoria mediante vulnerabilidades de cadenas de formato . Las funciones de cadenas de formato como printf utilizan una lista de argumentos variable para hacer su trabajo; los especificadores de formato describen cómo se ve la lista de argumentos. Debido a la forma en que se pasan normalmente los argumentos, cada especificador de formato se acerca a la parte superior del marco de la pila. Finalmente, se pueden extraer el puntero de retorno y el puntero del marco de la pila, lo que revela la dirección de una biblioteca vulnerable y la dirección de un marco de pila conocido; esto puede eliminar la aleatorización de la biblioteca y la pila como un obstáculo para un atacante.
También se puede disminuir la entropía en la pila o montón. La pila normalmente debe estar alineada a 16 bytes, por lo que este es el intervalo de aleatorización más pequeño posible; mientras que el montón debe estar alineado a la página, normalmente 4096 bytes. Al intentar un ataque, es posible alinear ataques duplicados con estos intervalos; se puede usar un deslizamiento NOP/bin/sh
con inyección de código shell, y la cadena ' ' se puede reemplazar con ' ////////bin/sh
' para una cantidad arbitraria de barras al intentar regresar al sistema . La cantidad de bits eliminados es exactamente para n intervalos atacados.
Estas disminuciones están limitadas debido a la cantidad de datos en la pila o montón. La pila, por ejemplo, normalmente está limitada a8 MB [8] y crece hasta mucho menos; esto permite como máximo19 bits , aunque una estimación más conservadora sería de alrededor de 8–10 bits correspondientes a 4–16 KB [8] de relleno de pila. El montón, por otro lado, está limitado por el comportamiento del asignador de memoria; en el caso de glibc , las asignaciones superiores a 128 KB se crean utilizando mmap , lo que limita a los atacantes a 5 bits de reducción. Esto también es un factor limitante cuando se realiza un ataque de fuerza bruta; aunque se puede reducir la cantidad de ataques a realizar, el tamaño de los ataques aumenta lo suficiente como para que el comportamiento pueda, en algunas circunstancias, volverse evidente para los sistemas de detección de intrusiones .
Las direcciones protegidas por ASLR pueden filtrarse a través de varios canales secundarios, lo que elimina la utilidad de mitigación. Los ataques recientes han utilizado información filtrada por el búfer predictor de destino de ramificación de CPU (BTB) o las tablas de páginas móviles de la unidad de administración de memoria (MMU). No está claro si esta clase de ataque ASLR se puede mitigar. Si no se puede, el beneficio de ASLR se reduce o se elimina.
En agosto de 2024 se publicó un artículo [9] con un análisis empírico de las principales plataformas de escritorio, incluidas Linux, MacOS y Windows, en el que se examinaba la variabilidad en la colocación de objetos de memoria en varios procesos, subprocesos y reinicios del sistema. Los resultados muestran que, si bien algunos sistemas a partir de 2024, como las distribuciones de Linux, proporcionan una aleatorización robusta, otros, como Windows y MacOS, a menudo no logran aleatorizar adecuadamente áreas clave como el código ejecutable y las bibliotecas. Además, encontraron una reducción significativa de la entropía en la entropía de las bibliotecas después de la versión Linux 5.18 e identificaron rutas de correlación que un atacante podría aprovechar para reducir significativamente la complejidad de la explotación.
Varios sistemas operativos generales y convencionales implementan ASLR.
Android 4.0 Ice Cream Sandwich ofrece aleatorización del diseño del espacio de direcciones (ASLR) para ayudar a proteger el sistema y las aplicaciones de terceros de vulnerabilidades de seguridad debido a problemas de gestión de memoria. En Android 4.1 se agregó compatibilidad con ejecutables independientes de la posición. [10] Android 5.0 abandonó la compatibilidad con archivos no PIE y requiere que todos los archivos binarios vinculados dinámicamente sean independientes de la posición. [11] [12] La aleatorización del orden de carga de la biblioteca se aceptó en el proyecto de código abierto de Android el 26 de octubre de 2015, [7] [ se necesita una fuente no primaria ] y se incluyó en la versión Android 7.0.
DragonFly BSD tiene una implementación de ASLR basada en el modelo de OpenBSD, agregada en 2010. [13] Está desactivada de manera predeterminada y se puede habilitar configurando sysctl vm.randomize_mmap en 1.
El soporte para ASLR apareció en FreeBSD 13.0. [14] [15] Está habilitado de forma predeterminada desde 13.2. [16]
Apple introdujo ASLR en iOS 4.3 (lanzado en marzo de 2011). [17]
KASLR se introdujo en iOS 6. [18] La base del kernel aleatorizada es 0x01000000 + ((1+0xRR) * 0x00200000)
, donde 0xRR
es un byte aleatorio de SHA1 (datos aleatorios) generado por iBoot (el cargador de arranque de iOS de segunda etapa). [19]
El núcleo Linux habilitó una forma débil de ASLR de manera predeterminada desde la versión 2.6.12 del núcleo, lanzada en junio de 2005. [20] Los parches PaX y Exec Shield para el núcleo Linux proporcionan implementaciones más completas. El parche Exec Shield para Linux proporciona 19 bits de entropía de pila en un período de 16 bytes y 8 bits de aleatorización de base mmap en un período de 1 página de 4096 bytes. Esto coloca la base de la pila en un área de 8 MB de ancho que contiene 524.288 posiciones posibles, y la base mmap en un área de 1 MB de ancho que contiene 256 posiciones posibles.
El ASLR se puede desactivar para un proceso específico cambiando su dominio de ejecución, utilizando personality(2)
. [21] Varias opciones de sysctl controlan el comportamiento del ASLR principal. Por ejemplo, kernel.randomize_va_space
controla qué aleatorizar; la opción más fuerte es 2. vm.mmap_rnd_bits
controla cuántos bits aleatorizar para mmap . [22]
El ejecutable independiente de la posición (PIE) implementa una dirección base aleatoria para el binario ejecutable principal y está en funcionamiento desde el 18 de abril de 2004. Proporciona la misma aleatoriedad de dirección al ejecutable principal que la que se utiliza para las bibliotecas compartidas. La función PIE no se puede utilizar junto con la función de preenlace para el mismo ejecutable. La herramienta de preenlace implementa la aleatorización en el momento de preenlace en lugar de en el momento de ejecución, porque por diseño, el preenlace tiene como objetivo gestionar la reubicación de las bibliotecas antes de que lo haga el enlazador dinámico, lo que permite que la reubicación se produzca una vez para muchas ejecuciones del programa. Como resultado, la aleatorización del espacio de direcciones real anularía el propósito del preenlace.
En 2014, Marco-Gisbert y Ripoll revelaron la técnica offset2lib que debilita el ASLR de Linux para los ejecutables PIE. Los núcleos de Linux cargan los ejecutables PIE justo después de sus bibliotecas; como resultado, hay un desplazamiento fijo entre el ejecutable y las funciones de la biblioteca. Si un atacante encuentra una manera de encontrar la dirección de una función en el ejecutable, también se conocen las direcciones de la biblioteca. Demostraron un ataque que encuentra la dirección en menos de 400 intentos. Propusieron una nueva randomize_va_space=3
opción para aleatorizar la ubicación del ejecutable en relación con la biblioteca, [5] pero aún no se ha incorporado al upstream a partir de 2024. [23]
El kernel de Linux 5.18 lanzado en mayo de 2022 redujo la efectividad de las implementaciones de 32 y 64 bits. Los sistemas de archivos de Linux llaman thp_get_unmapped_area
para responder a un mmap respaldado por archivo . Con un cambio en 5.18, los archivos mayores a 2 MiB deben devolver direcciones alineadas a 2 MiB, por lo que potencialmente pueden estar respaldados por páginas enormes . (Anteriormente, la alineación aumentada solo se aplicaba a las asignaciones de acceso directo (DAX)). Mientras tanto, la biblioteca C (libc) ha crecido con el tiempo en tamaño para superar este umbral de 2 MiB, por lo que en lugar de estar alineada con un límite de página (normalmente) de 4 KiB como antes, estas bibliotecas ahora están alineadas a 2 MiB: una pérdida de 9 bits de entropía. Para Linux de 32 bits, muchas distribuciones no muestran ninguna aleatorización en la ubicación de libc. Para Linux de 64 bits, los 28 bits de entropía se reducen a 19 bits. En respuesta, Ubuntu ha aumentado su mmap_rnd_bits
configuración. [24] Martin Doucha agregó un caso de prueba del Proyecto de prueba de Linux para detectar este problema. [25]
La aleatorización del diseño del espacio de direcciones del núcleo (KASLR) permite la aleatorización del espacio de direcciones para la imagen del núcleo de Linux al aleatorizar la ubicación del código del núcleo en el momento del arranque. [26] KASLR se fusionó con la línea principal del núcleo de Linux en la versión 3.14 del núcleo, lanzada el 30 de marzo de 2014. [27] Cuando se compila, se puede desactivar en el momento del arranque especificando nokaslr como uno de los parámetros de arranque del núcleo. [28]
Existen varios ataques de canal lateral en procesadores x86 que podrían filtrar direcciones del núcleo. [29] [30] A fines de 2017, se desarrolló el aislamiento de la tabla de páginas del núcleo (KPTI, también conocido como KAISER) para derrotar estos ataques. [31] [32] Sin embargo, este método no puede proteger contra ataques de canal lateral que utilizan colisiones en estructuras de predictores de bifurcación . [33]
A partir de 2021 [update], la aleatorización del diseño del espacio de direcciones del kernel de grano más fino (o KASLR granular de función, FGKASLR) es una extensión planificada de KASLR para aleatorizar hasta el nivel de función. [34]
Los sistemas operativos Windows Vista (lanzado en enero de 2007) y posteriores de Microsoft tienen ASLR habilitado solo para ejecutables y bibliotecas de vínculos dinámicos que están específicamente vinculados para ser habilitados con ASLR. [35] Por razones de compatibilidad, no está habilitado de manera predeterminada para otras aplicaciones. Por lo general, solo el software más antiguo es incompatible y ASLR se puede habilitar por completo editando una entrada de registro HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\MoveImages
, [36] o instalando el kit de herramientas Enhanced Mitigation Experience de Microsoft .
Las ubicaciones de los bloques heap , stack , Process Environment Block y Thread Environment Block también son aleatorias. Un informe técnico de seguridad de Symantec señaló que ASLR en Windows Vista de 32 bits puede no ser tan robusto como se esperaba, y Microsoft ha reconocido una debilidad en su implementación. [37]
Los sistemas de prevención de intrusiones basados en host, como WehnTrust [38] y Ozone [39], también ofrecen ASLR para los sistemas operativos Windows XP y Windows Server 2003. WehnTrust es de código abierto. [40] No hay detalles completos disponibles sobre la implementación de Ozone. [41]
En febrero de 2012 [42] se observó que la eficacia de ASLR en sistemas Windows de 32 bits anteriores a Windows 8 puede verse reducida en situaciones de poca memoria. En la misma investigación también se había logrado un efecto similar en Linux. El código de prueba provocó que el sistema Mac OS X 10.7.3 entrara en pánico del núcleo , por lo que no quedó claro su comportamiento ASLR en este escenario.
El soporte para ASLR en el espacio de usuario apareció en NetBSD 5.0 (lanzado en abril de 2009), [43] y se habilitó de manera predeterminada en NetBSD-current en abril de 2016. [44]
El soporte de ASLR del kernel en amd64 se agregó en NetBSD-current en octubre de 2017, convirtiendo a NetBSD en el primer sistema BSD en soportar KASLR. [45]
En 2003, OpenBSD se convirtió en el primer sistema operativo convencional en soportar una forma fuerte de ASLR y activarlo por defecto. [3]
OpenBSD completó su soporte de ASLR en 2008 cuando agregó soporte para binarios PIE . [46] El malloc(3) de OpenBSD 4.4 fue diseñado para mejorar la seguridad al aprovechar las características de ASLR y gap page implementadas como parte de mmap
la llamada al sistema de OpenBSD , y para detectar errores de uso después de liberación. [47] Lanzado en 2013, OpenBSD 5.3 fue el primer sistema operativo convencional en habilitar ejecutables independientes de la posición por defecto en múltiples plataformas de hardware , y OpenBSD 5.7 activó binarios estáticos independientes de la posición (Static-PIE) por defecto. [46]
En Mac OS X Leopard 10.5 (lanzado en octubre de 2007), Apple introdujo la aleatorización para las bibliotecas del sistema. [48]
En Mac OS X Lion 10.7 (lanzado en julio de 2011), Apple amplió su implementación para cubrir todas las aplicaciones, afirmando que "la aleatorización del diseño del espacio de direcciones (ASLR) se ha mejorado para todas las aplicaciones. Ahora está disponible para aplicaciones de 32 bits (al igual que las protecciones de memoria de montón), lo que hace que las aplicaciones de 64 y 32 bits sean más resistentes a los ataques". [49]
A partir de OS X Mountain Lion 10.8 (lanzado en julio de 2012) y versiones posteriores, todo el sistema, incluido el núcleo, así como los kexts y las zonas, se reubican aleatoriamente durante el arranque del sistema. [50]
La ASLR se ha introducido en Solaris a partir de Solaris 11.1 (lanzada en octubre de 2012). La ASLR en Solaris 11.1 se puede configurar en todo el sistema, por zona o por binario. [51]
Se demostró que un ataque de canal lateral que utiliza un búfer de destino de rama evita la protección ASLR. [33] En 2017, se demostró un ataque llamado "ASLR⊕Cache" que podía derrotar a ASLR en un navegador web usando JavaScript. [52]