Posso usare le informazioni di crash del processo per rilevare gli attacchi di overflow del buffer?

0

L'overflow del buffer è una vulnerabilità molto comune, spesso mirata agli exploit zero-day. Gli attacchi riusciti portano spesso all'esecuzione di codice arbitrario, mentre i tentativi falliti tendono a mandare in crash il programma di destinazione. ASLR rende questo scenario ancora più comune: in questo esempio di attacco Il server Web Apache si blocca ripetutamente fino a quando l'utente malintenzionato non rileva l'indirizzo della funzione system() prima di essere sfruttato. L'attacco richiede una media di 32000 tentativi.

Questo mi ha fatto pensare: perché Apache consente di essere attaccato in modo così ovvio? Sarei sorpreso se i server Web configurati correttamente si bloccassero più di un paio di volte al giorno in produzione, quindi migliaia di arresti in pochi minuti sono un strong indicatore che:

  • si sta verificando un attacco
  • in realtà sta succedendo, cioè avviene un overflow del buffer

In caso di exploit zero-day, vietare l'IP dell'utente malintenzionato per un giorno o arrestare del tutto il server dopo circa 10 arresti anomali fornirebbe tempo sufficiente per applicare una correzione e fare una grande differenza in termini di sicurezza.

C'è un modo per applicare tale politica di sicurezza per servizi popolari come Apache, sshd e simili? Oppure ci sono server HTTP e SSH con funzionalità integrate?

    
posta Dmitry Grigoryev 02.03.2016 - 10:50
fonte

0 risposte

Leggi altre domande sui tag