سیستم حفاظتی توسط کد مخرب فریب خورد

۱۳۹۵/۱۲/۲۳ - ۰۰:۰۰:۰۰
کد خبر: ۶۲۸۷۱

ماهر یک اکسپلویت (کد مخرب) ساده جاوااسکریپتی، سیستم حفاظتی «چیدمان تصادفی لایه فضای آدرس» در ۲۲ معماری مختلف cpu را دور می‌زند. محققان امنیتی یکی از مکانیزم‌های امنیتی را مستقل از نوع سیستم عامل یا نرم‌افزارهای در حال اجرا دور زدند.

این نقص نمی‌تواند بطور کامل توسط به‌روزرسانی‌های نرم‌افزاری حل شود. این آسیب‌پذیری در واحد مدیریت حافظه (MMU) قرار دارد که یکی از اجزای اصلی cpu است و برای جلوگیری از دور زدن سیستم «چیدمان تصادفی لایه فضای آدرس» (ASLR) به کار می‌رود.

مکانیزم امنیتی ASLR توسط همه سیستم‌عامل‌های مدرن پشتیبانی می‌شود. از جمله آنها می‌توان ویندوز، مک، لینوکس، اندروید و iOS را نام برد.

مکانیسم امنیتی ASLR جای برنامه‌های در حال اجرا را در حافظه به صورت تصادفی چینش می‌کند که باعث می‌شود اجرای کدهای مخرب در حمله سرریز بافر (Buffer Overflow) یا حملات مشابه برای هکر سخت شود. این حمله که ASLR Cache یا AnC نام گرفته، کاملا جدی است چون از یک کد ساده جاوااسکریپت (JavaScript) برای شناسایی آدرس پایه برنامه‌های در حال اجرا در حافظه استفاده می‌کند. بنابراین، فقط مشاهده یک سایت مخرب می‌تواند اجرای این حمله را امکان‌پذیر کند، حمله‌یی که به مهاجم اجازه می‌دهد تا حملات بیشتری را به همان قسمت از حافظه برای سرقت اطلاعات حساس ذخیره‌شده در حافظه کامپیوتر هدایت کند. بر اساس این گزارش، واحد MMU در سیستم‌های شخصی، موبایل و سرورها وجود دارد و کارش آدرس‌دهی به مکان‌هایی از حافظه است که داده ذخیره می‌شود. این واحد بطور مداوم دایرکتوری که جدول صفحه (Page Table) را صدا می‌زند را بررسی می‌کند تا آدرس‌های آن دایرکتوری را پیگیری و دنبال کند. برنامه‌ها معمولاً جدول صفحه را در کش پردازنده ذخیره می‌کنند که این کار تراشه را سریع‌تر و کارآمدتر می‌کند. طبق اطلاعات سایت مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای)، مشکل از جایی شروع می‌شود که این مولفه بعضی از اطلاعات کش را با نرم‌افزارهای نامطمئنی مانند مرورگرها به اشتراک می‌گذارد. بنابراین، یک کد کوچک جاوااسکریپت که در حال اجرا روی یک وب‌سایت مخرب است هم می‌تواند در آن کش داده بنویسد و مهاجم را قادر سازد تا محل اجرای نرم‌افزارها را کشف کند، مانند کتابخانه‌ها و فایل‌های داخل رم که در حافظه مجازی قرار دارند. مهاجم با دسترسی به این داده‌های مکانی می‌تواند بخش‌هایی از حافظه کامپیوتر را بخواند و بعداً برای اجرای حملات پیچیده‌تر و کامل‌تر استفاده کند. قابل توجه است که محققان توانستند تنها در ۹۰ ثانیه با موفقیت حملات جاوااسکریپت AnC را با نسخه‌های به‌روز مرورگر کروم و فایرفاکس روی ۲۲ معماری مختلف CPU اجرا کنند. در حمله‌ آنها، حمله‌ جاوااسکریپت با یک کد حمله ترکیب شده است. بر اساس گزارش‌های منتشر شده از این محققان، تنها راهی که شما می‌توانید خودتان را علیه حملات AnC محافظت کنید، فعال کردن پلاگین‌هایی مانند NoScript برای فایرفاکس یا کروم است تا کدهای جاوااسکریپت نامطمئن را روی صفحات وب بلاک کند و اجازه اجرا ندهد.


مشاهده صفحات روزنامه

ارسال نظر