Address Space Layout Randomization (ASLR) es una técnica de seguridad utilizada en sistemas operativos, implementada por primera vez en 2001. Las versiones actuales de todos los principales sistemas operativos (iOS, Android, Windows, macOS y Linux) cuentan con protección ASLR. Pero en la última semana, un nuevo método para evitar ASLR se ha encontrado. Entonces, ¿deberías estar preocupado?
Para aquellos sin un fondo de programación de bajo nivel, ASLR puede ser confuso. Para entenderlo, primero debe comprender la memoria virtual.
¿De qué vamos a hablar?
¿Qué es la memoria virtual?
La memoria virtual es una técnica de administración de memoria con muchos beneficios, pero fue creada principalmente para facilitar la programación. Imagina que tienes Google Chrome, Microsoft Word y varios otros programas abiertos en una computadora con 4 GB de RAM. En su conjunto, los programas de este ordenador utilizan mucho más de 4 GB de RAM. Sin embargo, no todos los programas estarán activos en todo momento, o necesitarán acceso simultáneo a esa RAM.
El sistema operativo asigna trozos de memoria a programas llamados Páginas. Si no hay suficiente RAM para almacenar todas las páginas a la vez, las páginas con menos probabilidades de ser necesarias se almacenan en el disco duro más lento (pero más espacioso). Cuando se necesitan las páginas almacenadas, cambiarán de espacio con páginas menos necesarias actualmente en la RAM. Este proceso se denomina paginación y presta su nombre al archivo pagefile.sys en Windows.
La memoria virtual facilita a los programas la administración de su propia memoria y también los hace más seguros. Los programas no necesitan preocuparse por dónde otros programas están almacenando datos o cuánta RAM queda. Simplemente pueden pedirle al sistema operativo memoria adicional (o devolver la memoria no utilizada) según sea necesario. Todo lo que el programa ve es un solo trozo continuo de direcciones de memoria para su uso exclusivo, llamadas direcciones virtuales. El programa no puede mirar la memoria de otro programa.
Cuando un programa necesita acceder a la memoria, le da al sistema operativo una dirección virtual. El sistema operativo se pone en contacto con la unidad de administración de memoria (MMU) de la CPU. La MMU se traduce entre direcciones virtuales y físicas, devolviendo esa información al sistema operativo. En ningún momento el programa interactúa directamente con la RAM.
¿Qué es ASLR?
La aleatorización del diseño del espacio de direcciones (ASLR) se utiliza principalmente para proteger contra ataques de desbordamiento de búfer. En un desbordamiento de búfer, los atacantes alimentan una función con tantos datos basura como puede manejar, seguidos de una carga útil maliciosa. La carga útil sobrescribirá los datos a los que el programa tiene la intención de acceder. Las instrucciones para saltar a otro punto en el código son una carga útil común. El famoso método JailbreakMe de jailbreak a iOS 4, por ejemplo, utilizó un ataque de desbordamiento de búfer, lo que provocó que Apple agregara ASLR a iOS 4.3.
Los desbordamientos de búfer requieren que un atacante sepa dónde se encuentra cada parte del programa en la memoria. Averiguar esto suele ser un proceso difícil de prueba y error. Después de determinar eso, deben crear una carga útil y encontrar un lugar adecuado para inyectarla. Si el atacante no sabe dónde se encuentra su código de destino, puede ser difícil o imposible explotarlo.
ASLR trabaja junto con la administración de memoria virtual para aleatorizar las ubicaciones de diferentes partes del programa en la memoria. Cada vez que se ejecuta el programa, los componentes (incluida la pila, el montón y las bibliotecas) se mueven a una dirección diferente en la memoria virtual. Los atacantes ya no pueden saber dónde está su objetivo a través de prueba y error, porque la dirección será diferente cada vez. En general, las aplicaciones deben compilarse con soporte ASLR, pero esto se está convirtiendo en el valor predeterminado, e incluso se requiere en Android 5.0 y versiones posteriores.
Entonces, ¿ASLR todavía lo protege?
El martes pasado, investigadores de SUNY Binghamton y la Universidad de California, Riverside, presentaron un documento llamado Saltar sobre ASLR: Atacar predictores de rama para omitir ASLR. El documento detalla una forma de atacar el búfer de destino de sucursal (BTB). El BTB es parte del procesador que acelera las declaraciones if al predecir el resultado. Utilizando el método de los autores, es posible determinar las ubicaciones de las instrucciones de rama conocidas en un programa en ejecución. El ataque en cuestión se realizó en una máquina Linux con un procesador Intel Haswell (lanzado por primera vez en 2013), pero probablemente podría aplicarse a cualquier sistema operativo y procesador moderno.
Dicho esto, no necesariamente debes desesperarte. El documento ofreció algunas formas en que los desarrolladores de hardware y sistemas operativos pueden mitigar esta amenaza. Las técnicas ASLR más nuevas y de grano fino requerirían más esfuerzo del atacante, y aumentar la cantidad de entropía (aleatoriedad) puede hacer que el ataque Jump Over sea inviable. Lo más probable es que los sistemas operativos y procesadores más nuevos be inmune a este ataque.
Entonces, ¿qué queda para qué? tú para hacer? El bypass Jump Over es nuevo y aún no se ha visto en la naturaleza. Cuando los atacantes lo explotan, la falla aumentará el daño potencial que un atacante puede causar en su dispositivo. Este nivel de acceso no tiene precedentes; Microsoft y Apple solo implementaron ASLR en sus sistemas operativos lanzados en 2007 y posteriores. Incluso si este estilo de ataque se convierte en algo común, no estará peor de lo que estaba en los días de Windows XP.
Tenga en cuenta que los atacantes aún tienen que obtener su código en su dispositivo para hacer daño. Esta falla no les proporciona ninguna forma adicional de infectarlo. Como siempre, debe seguir las mejores prácticas de seguridad. Use antivirus, manténgase alejado de sitios web y programas incompletos y mantenga su software actualizado. Al seguir estos pasos y mantener a los actores maliciosos fuera de su computadora, estará tan seguro como siempre.
Crédito de la imagen: Steve/Flickr