Data: Czwartek, 4 marca 2010, 15:50

Sposób na DEP

Berend-Jan Wever z Google opublikował wyniki swoich badań, które pozwoliły mu stworzyć prototypowy kod omijający jedną z dwóch najważniejszych technik bezpieczeństwa w Windows. W latach 2006-2008 Wever pracował jako inżynier ds. bezpieczeństwa w Microsofcie.

Te dwie wspomniane techniki to DEP (Data Execution Prevention) oraz ASLR (Address Space Layout Randomization). Weaver pokonał pierwszą z nich, której celem jest zapobiegania wykonania kodu w obszarach pamięci, które nie są przeznaczone do wykonywania kodu. Zapobiega to, m.in., atakom bazującym na błędach przepełnienia bufora.

Weaver ma olbrzymią wiedzę na temat technik ataków. W 2005 spopularyzował on technikę "heap spraying", która jest szczególnie efektywna przeciwko przeglądarkom internetowym. Cyberprzestępcy szybko ją zaakceptowali i wykorzystali podczas licznych dużych ataków.

Opracowana przez Weavera nowa technika może pozwolić na zwiększenie efektywności ataków.

Obecnie istnieją sposoby na ominięcie DEP, jednak nowa metoda tym się od nich różni, że może współpracować z każdym szkodliwym kodem.

Aby wykorzystać sposób proponowany przez Weavera należy obejść też ASLR. Testy wykazały, że aby tego dokonać, należy wielokrotnie spróbować uruchomić szkodliwy kod w różnych partiach pamięci. W końcu można trafić na taką przestrzeń adresową, w której uruchomienie exploita będzie możliwe.

Prototypowy kod pokazany przez Weavera jest nieszkodliwy, gdyż został zbudowany na podstawie załatanej przed 5 laty dziury w Internet Explorerze 6.

Przedstawiciele koncernu z Redmond nie chcieli powiedzieć, czy mają zamiar przeprojektować DEP.

Mariusz Błoński