Обнаружена опасная уязвимость, позволяющая обойти защиту памяти в ОС

Атака в обход систем обеспечения безопасности в операционных системах (ОС) выявлена группой исследователей из Технологического института Стивенса, Швейцарской высшей технической школы Цюриха и Амстердамского свободного университета, 14 сентября сообщил портал ИТ-новостей ZDNet.

Техника, названная BlindSide, может быть использована для автоматизации атак типа переполнение буфера или кражи данных в обход технологии защиты адресного пространства ASLR, применяемой в ОС.

ASLR меняет адрес расположения в памяти важных структур данных. Технология нужна, чтобы программа, служащая для эксплуатации уязвимости, не могла точно знать место расположения требуемых данных в адресном пространстве.

Многократные попытки эксплуатации уязвимости с перебором адреса требуемых данных будут обнаружена системами безопасности. BlindSide позволяет проводить перебор адресов (сканирование) с помощью функции спекулятивного выполнения современных процессоров.

Спекулятивное выполнение служит для увеличения производительности процессоров. Некоторые задачи могут быть выполнены параллельно с основным процессом и заранее. Когда потребуется результат, процесс уже будет иметь вычисленные значения.

Но данные, вычисленные в процессе спекулятивного выполнения, не проверяются системами безопасности и не влияют на стабильность ОС. Они просто выбрасываются после того, как перестают быть нужны.

BlindSide используется для многократного спекулятивного исполнения специального кода, нацеленного на какую-либо локальную уязвимость. Этим повышается производительность сканирования, и оно маскируется от систем безопасности.

Согласно заявлению исследователей, технология хорошо работает как на процессорах Intel, так и AMD.

Группа предложила несколько механизмов защиты от BlindSide на уровне ОС.