系统软件并发攻击.pptxVIP

Concurrency Attacks —— 并发攻击;;众所周知，随着多核处理器的发展和大规模分布式系统发展，并发程序也变得越来越重要，应用也越来也多。 并发程序中的错误会导致并发攻击。 本文对并发攻击和并发错误带来的安全问题进行了初步的研究。 ;并发攻击可导致系统的隐私泄露，破坏系统的完整性和可用性。因此， 需要更好地了解并发错误是如何发生且被利用的。 什么因素使并发错误容易被利用？ 如何利用这些因素有效提高检测并发错误的技术？ 并发攻击是如何攻破现有防御的，如何提高这些防御技术？ ;在CVE (Common Vulnerabilities Exposures)数据库竞争环节，发现了许多可利用的并发错误，包括文件系统Time-of-Check-to-Time-of-Use(TOCTOU)竞争。 TOCTOU：是指计算机系统的资料与权限等状态的检查与使用之间，因为某特定状态在这段时间已改变所产生的软件漏洞。;进一步研究了???前流行软件的数据库漏洞，并收集了可利用的并发错误及其详细的描述，包括：错误报告、采样攻击代码和源补丁等 。 Windows、MacOS X、Linux和苹果的iOS中都存在并发错误，包括内核，如Linux；系统库，如GNU Libc库；用户空间程序KDE(Kool Desktop Environment)、Apache和Chrome 。 ;当以ELF格式加载一个共享库时，进程会使系统调uselib()，随后会调用load_elf_library()。 这个并发错误会破坏linux内核指针数据，它允许本地用户获得root权限，并在Ring0内执行任意代码。 ;由用户身份导致的并发错误，造成权限攻击。 这个错误是由于Glibc的默认线程库nptl处理setuid() 时，无原子性造成的。 POSIX标准要求在同一进程的所有其他线程有相同的用户身份。 由于setuid()通常被调用，去降低特权，这样一个线程跳过setuid()，完成了特权升级。;一个原子性的错误，允许攻击者违反Moonlight中的类型安全（ type safety ）。 类型检查和复制并不是作为一个原子操作，它允许攻击者在类型检查后，改变目标数组，造成类型安全。 例如，攻击者可以创建一个新的类型来完成同样的操作，那么这个新的类型中所有字段都是公开的，由此可以获得原始对象的私有字段。; MSIE R6025漏洞，允许攻击者通过浏览恶意网页，在微软Internet Explorer(IE) 植入攻击代码。 具体来说，即在多个窗口打开恶意网页时，Javascript代码会调用appendChild()方法来添加一个窗口的DHTML元素到另一个窗口。 在appendChild()中的这个数据竞争会导致堆栈中的函数指针错误。 ;物理临近攻击(physical proximity attacks)， 一类独特的可以在人类时间（human time）实施的攻击。 这种攻击通常利用用户界面(UI)的逻辑并发错误。 例如：苹果iOS的UI逻辑，允许攻击者通过执行一个物理的时间序列，绕过密码保护锁屏。 ;在研究分析中，发现一个并发错误的可利用性主要取决于脆弱窗口的持续时间——时间窗口内可能发生的并发错误。 脆弱窗口(vulnerable window)的持续时间严重影响并发错误的可利用性。 如图，显示了脆弱窗口时间的三态分布(tri-modal distribution)。;在研究的46个并发错误中，有三个物理临近攻击。这些错误是以人类时间度量的脆弱窗口。攻击者可以很容易利用它们，只需要手动触发一系列的UI事件。 有13个文件系统TOCTOU攻击。这些竞争是以磁盘访问时间度量的脆弱窗口。这个相对较大的脆弱窗口时间使得文件竞争也容易被利用：攻击者通常只需重复运行一个命令 (使用shell脚本)。 大多数并发错误允许内存数据损坏或不一致。这些错误是以内存访问时间度量的脆弱窗口。这类错误比前两类错误更难利用，因为攻击者必须使违规事件发生在较小的时间窗口内。;然而，研究表明，通过使用前两种类型的攻击，第三类并发错误仍然可以被利用。 第一，攻击者可以多次重试以增加成功的概率。例如MSIE R6025漏洞，利用不同的线程多次触发appendChild()函数。 第二，攻击者可以利用精心设计的输入扩大脆弱窗口。例如，Moonlight错误漏洞，可以通过复制一个大的数组来扩大脆弱窗口，增加类型检查的迭代次数的循环。;首先，一个API方法，比如系统调用接口或Silverlight运行时的接口，都有一致性保护边界。整个API方法期间，应用程序代码通常都无法直接访问敏感数据。要破坏这些敏感数据，攻击者必须利用API方法的错误。;我们研究的目标是一般的并发攻击，它们以利用并