Le condizioni di gara basate su memcpy () sono sfruttabili per causare l'esecuzione di codice in modalità remota?

Naviga le tue risposte
10

Diciamo che ho il seguente pseudocodice nella parte fidata di una sandbox che impedisce al codice non sicuro di chiamare mprotect() e mmap() e ptrace() direttamente (mutext non è accessibile dalla memoria sandbox) ... 

//src and dest are user controlled but must be valid.
TrustedPart_for_safe_jit(void * mutext, uint8_t *src,uint8_t *dest, uint32_t size) // in the current case, *dest targets a PROT_NONE memory region
{
    MutexLock(mutext);
    ValidateOpcodesOrCrash(src,size); // uses calls to mmap on size internally. Contains many different loops and use several 10k thousands lines of codes in the trusted part of the sandbox : this is the longest part. Please also note that src is write protected while being in this function.
    unwriteprotect(dest,size); // calls many sandbox’s internal functions

    SafeMemcpy(src,dest,size); // THIS IS the function which contains the race condition

    asm("mfence");
    unEXECprotect(dest,size); // involve write protecting as well as allowing reading
    MutexUnlock(mutext);
}

SafeMemcpy(uint8_t *src,uint8_t *dest, uint32_t size) // the data to be copied cannot exceed 128Mb
{
    if(!CheckUserTargetPointToValidMemroyRange(dest,size) {
        uint8_t *src_ptr=src;
        uint8_t *dest_ptr=dest;
        uint8_t *end_ptr=des+size;
        while (dest_ptr < end_ptr) { // that loop should execute very fast
            *(uint32_t *) dest_ptr = *(uint32_t *) src_ptr;
            dest_ptr += 4;
            src_ptr += 4;
        }
    }
}

Questa parte è responsabile di consentire al codice non attendibile di utilizzare la compilazione ᴊɪᴛ.
Il punto è thread non attendibile non sono sospesi.

Come sai, quando 2 thread utilizzano memcpy() con la stessa destinazione, generano dati casuali. In tal caso, tali dati potrebbero potenzialmente contenere istruzioni come int 0x80 , consentendo così di uscire dalla sandbox.

Cose che ho pensato fino ad ora:

  • Scrive i dati in un file e leggerli con la chiamata di sistema di lettura attraverso la sandbox. Se la memoria è ancora protetta da scrittura, il programma non si blocca. Ciò implicherebbe il looping e anche se i dati da copiare possono essere 128Mb di grandi dimensioni non sono sicuro che funzionerebbero a causa dell'overhead di syscall.
    Un'alternativa sarebbe creare codice diverse volte e provare a leggere con diversi tempi , ma non ho idea di come selezionare la finestra temporale iniziale.
  • Usa futex ... Ma non sono riuscito a trovare se il futex può essere usato per controllare il valore della memoria non allocata. Non sono sicuro se il thread potrebbe svegliarsi prima che la memoria diventi protetta da scrittura.

Quindi, è possibile pianificare la finestra temporale per le condizioni di gara di memcpy?

    
posta user2284570 20.02.2017 - 02:44
fonte

2 risposte

2

Sulla base di ciò che vedo qui, puoi modificare * src dopo che ValidateOpcodesOrCrash ha finito di controllare quella parte della memoria ma prima che inizi SafeMemcpy.

Non so come ValidateOpcodesOrCrash sia implementato, ma supponendo che si aggiri semplicemente attraverso [src,src+size] e cerchi istruzioni illegali, allora puoi chiamare con abbastanza TrustedPart_for_safe_jit grande size , occupato attendere qualche centinaia di CPU cicli, quindi inizia a sovrascrivere *src che probabilmente ValidateOpcodesOrCrash ha completato il controllo. Se ValidateOpcodesOrCrash fa qualcosa di più complicato, puoi capire quale sequenza di istruzioni sarà la più veloce e la più lenta per ValidateOpcodesOrCrash da controllare, mettere il più veloce all'inizio e, molte delle istruzioni più lente tutte fino alla fine. Probabilmente non dovrai aspettare che ValidateOpcodesOrCrash sia completato prima di iniziare a sovrascrivere src.

    
risposta data 21.03.2017 - 03:56
fonte
0

(Disclaimer: non sono un professionista della sicurezza - solo uno studente con una certa conoscenza di C)

Penso che questo sia probabilmente sfruttabile, almeno per causare un crash. Per correggere il bug, è necessario:

  • sospende tutti i thread non attendibili mentre dest è scrivibile.
  • o avere TrustedPart_for_safe_jit return memoria eseguibile appena assegnata (presumo che il codice non affidabile non sia autorizzato a criptare indirizzi macchina arbitrari come puntatori).

Questo significa che invece di usare un mutex, devi fermare il mondo.

    
risposta data 19.03.2017 - 20:13
fonte

Leggi altre domande sui tag

Best practice per l'utilizzo di Veracrypt su Dropbox Quali sono le differenze di privacy con i delegati di trustee di Azure in Cina, Germania e altre località?