Alexrdp: /* Solución */

2011-06-02T20:48:23Z

‎Solución

Alexrdp: Artículo propuesto en clase

2011-06-02T20:34:21Z

Artículo propuesto en clase

Página nueva

= Buffer Overflows =

== Definición y causa ==
Los desbordamientos de búfer es una vulnerabilidad presente cuando se escribe en un búfer sin validar el tamaño del contenido.
Esto puede hacer que si se introduce un dato lo suficientemente grande, el búfer se desborde, dando como resultado que se sobreescriba con código del atacante.
Lo cual constituye un gran problema de seguridad cuando el programa se ejecuta con privilegios de superusuario.

Este error de programación de encuentra comúnmente en programas que gestionan su propio uso de la memoria (P. ej, C/C++).
Según la OWASP (Proyecto de código abierto sobre seguridad web) es una de las vulnerabilidades más comunes, con un riesgo de explotación muy alto y variado, aún siendo una de las más antiguas y conocidas.

== Ejemplo ==
<source lang="c">
#include <stdio.h>
#include <string.h>

int main(int argc, char *argv[])
{
char buffer[5];
if(argc != 2)
{
fprintf(stderr, "USO: %s cadena\n", argv[0]);
return -1;
}
strcpy(buffer, argv[1]); // Cadenas de 5 o más caracteres causarán desbordamiento
return 0;
}
</source>

== Otro tipo de buffer overflow: Stack buffer overflow ==

=== Ejemplo modificando el código anterior ===
<source lang="c">
#include <stdio.h>
#include <string.h>

void mi_funcion(char *param)
{
char buffer[5];
strcpy(buffer, param);
}

int main(int argc, char *argv[])
{
if(argc != 2)
{
fprintf(stderr, "USO: %s cadena\n", argv[0]);
return -1;
}
mi_función(argv[1]);
return 0;
}
</source>

=== Funcionamiento del exploit ===
Contenido de la pila:
<pre>
_______
| |
|_______| <- vbles. locales mi_funcion (char buffer[] y char *param)
|_______| <- dirección de retorno (dir. siguiente instrucción después de mi_funcion)
| |
|_______| <- vbles. locales main
</pre>
Si se desborda el contenido de buffer:
<pre>
_______
|xxxxxxx|
|xxxxxxx| <- vbles. locales mi_funcion
|xxxxxxx| <- dirección de retorno
| |
|_______| <- vbles. locales main
</pre>
x = Código introducido por el atacante

Con lo cual, se han sobreescrito las variables de mi_funcion y la dirección de retorno, que es a la que se hará un jump después de ejecutar el código de mi_funcion.
Es decir, estamos permitiendo al atacante saltar a una dirección arbitraria y ejecutar el código que contenga.

No confundir esta vulnerabilidad con un desbordamiento de pila o stack overflow, esto último ocurre cuando la pila de
invocaciones se desborda por errores como recursión infinita o parámetros de retorno de demasiado tamaño.

== Solución ==
Una máxima en seguridad informática es validar siempre los datos introducidos por el usuario. En este caso, bastaría con sustituir la línea de strcpy por:
<pre>
...
strcpy(buffer, argv[1], sizeof(buffer));
buffer[sizeof(buffer) - 1] = '\0'; // Caracter nulo
...
</pre>
De esta forma, nos aseguramos que el contenido del buffer no se desborde al copiar argv[1] en él.

= Bit NX =
La tecnología NX (No eXecutable) se introdujo para establecer determinadas zonas de memoria como no ejecutables, y así prevenir los ataques de tipo buffer overflow.
Este bit es el último de cada entrada de la tabla de páginas, y si se encuentra puesto a 1 significa que el contenido de dicha página se considerará como datos y por tanto no podrá ser ejecutado.
En el caso de arquitecturas como IA32, al basar inicialmente la protección de memoria en el mecanismo de segmentación, hizo que sus servidores sufrieran muchos ataques de buffer overflow
hasta que se dió mayor control al mecanismo de paginación incluyendo esta tecnología (En el caso de Intel, llamada XD bit-Executing Disabled).

El núcleo de Linux soporta esta tecnología para arquitecturas IA-32 e IA-64. Si el hardware no proporciona la tecnología NX, el kernel para la arquitectura de 32 bits permite emularla por software.

= Fuentes =

* Securing Ajax Applications (O'Reilly)
* http://en.wikipedia.org/wiki/Buffer_overflow
* https://www.owasp.org/index.php/Buffer_Overflow
* http://en.wikipedia.org/wiki/NX_bit
* Apartados 2.11 y 4.4 de los apuntes de teoría de TPBN

@@ Línea 83: / Línea 83: @@
 <pre>
 	...
-	strcpy(buffer, argv[1], sizeof(buffer));
+	strncpy(buffer, argv[1], sizeof(buffer));
 	buffer[sizeof(buffer) - 1] = '\0'; // Caracter nulo
 	...

Buffer Overflow y bit NX - Historial de revisiones

Alexrdp: /* Solución */

Alexrdp: Artículo propuesto en clase