مرکز آپا دانشگاه کردستان

اضافه کردن کد مخرب به فضای آدرس هسته توسط مهاجمان به دلیل وجود باگ در هسته لینوکس

محققان امنیت سایبری کشف کرده‌اند که باگ موجود در هسته لینوکس به مهاجمان اجازه می‌دهد کدهای مخربی را در فضای آدرس هسته لینوکس وارد کنند. فضای آدرس هسته به پارتیشن فضای آدرسی که برای هسته اختصاص داده شده است، اشاره دارد. مدت‌هاست که لینوکس از ASLR برای برنامه‌های user-space استفاده می‌کند، کار اصلی ASLR، تصادفی سازی فضای ذخیره‌سازی و قراردادن اشیا به‌طور تصادفی در داخل حافظه است تا به این روش بهره‌برداری و سواستفاده را دشوار کند. ASLR با این‌کار به جای حذف آسیب‌پذیری‌ها از سیستم، تلاش می‌کند بهره‌برداری از آسیب‌پذیری‌های موجود را با چالش بیشتری روبرو کند. با این حال، کارشناسان برخی از جزئیات کلیدی در مورد این کد مخرب را بیان کرده‌اند، و به همین دلیل هم به جستجوی وصله‌هایی برای دور زدن این وضعیت ناخواسته پرداخته‌اند. حملات این اولین بار نیست که هسته مورد حمله قرار می‌گیرد، زیرا بارها توسط عوامل مختلف تهدید و با روش‌های مختلف مورد حمله قرار گرفته است. برای حمله به هسته، اولین نکته برای یک مهاجم این است که بفهمد آیا اشکال یا باگ خاصی در سیستم وجود دارد یا خیر؟ اگر مهاجم اشکالی در کد هسته پیدا کند، آنگاه می توانند با استفاده از آن، کدهای مخرب را با روش‌های مختلف در فضای آدرس هسته وارد کرده و اجرای هسته را به آن کد هدایت کند. تصادفی کردن موقعیت هسته پس از بررسی رویه، تحلیلگران امنیتی دریافتند که در حال حاضر ASLR (KASLR) جایی که کد هسته در زمان راه‌اندازی boot قرار می‌گیرد را تصادفی تعیین می‌کند. ASLR یک دفاع آماری یا “statistical defense” را پیاده‌سازی کرده است و در اینجا می‌توان از تکنیک‌های brute force برای غلبه بر آن استفاده کرد. برای مثال درباره مکان 1000 در حافظه، با استفاده از حمله brute force، پس از 999 تلاش ناموفق می‌توان به آن دست پیدا کرد. دستاورد در میان همه کدهای مخرب، KASLR یکی از جزئی‌ترین کدهای مشکل ساز است که کارشناسان با آن رو به رو شده‌اند. با این حال، محققان امنیت سایبری عنوان کرده‌اند که مراحل و کارهایی وجود دارد که به کاربر کمک می کند تا چنین شرایطی را دور بزند. برای محافظت و جلوگیری از نشت اطلاعات، برخی مراحل که می‌توان از آن ها برای شناسایی محل قرارگیری هسته استفاده کرد بایستی برداشته شوند. علاوه بر این، sysctl krestr_restrict باید برای مخفی کردن نشانگرهای هسته مجاز باشد تا به فضای کاربر نشت نکنند. وصله‌هایی که توسط تحلیلگران ذکر شده‌اند در حال حاضر فقط برای 64-bit x86 می‌باشند. تهیه و تدوین: تینا احمدی