Как один байт защитить?

Эксперты компании Fortinet отмечают, что хакеры разработали новый способ запуска приложений с помощью браузера. Собственно, сам браузер сейчас представляет все необходимые возможности по запуску вредоносных сценариев JavaScript, которые не требуют для исполнения кода сложных и опасных манипуляций с памятью. Новый метод проникновения на компьютеры пользователей применяет другой подход по вмешательству в работу памяти.

Дело в том, что браузер сам от своего имени может исполнить любую команду хакера. На пути к этому стоит только один бит информации - SafetyOption. Этот флаг устанавливается отличным от нуля для сценариев, загруженных из недоверенных источников - из Интернет. При исполнении опасных функций, с помощью которых можно проникнуть в систему пользователя, этот флаг проверяется - на этом основана работа защитных механизмов браузера. Однако с точки зрения памяти этот флаг - это всего один байт информации в огромном массиве памяти, причём расположен он достаточно предсказуемо. Но ведь с помощью переполнения буфера как раз и можно изменять память - достаточно подобрать правильный сдвиг для известных ошибок. Новый тип атаки предполагает, что с помощью ошибки переполнения буфера обнуляется флага SafetyOption, а затем исполняется вредоносный сценарий JavaScript уже в доверенной зоне, то есть с исполнением всех функций, в том числе и запрещённых для недоверенных сценариев.

Действительно, классические методы исполнения вредоносного кода при переолнении буфера опираются на нарушение механизма управления процессом исполнения кода - подстановка неправильных кодов возврата из функции и подпрограмм. Однако для этих классических методов уже придумано достаточно много средств защиты, которые слишком сильно усложняют именно запуск вредоносного кода, а чаще приводят просто к падению программы. Метод перезаписи SafetyOption более удобный и универсальный - он работает более надёжно и для него пока не придумано эффективных методов защиты. Так что, вполне возможно, что очень скоро хакеры будут очень активно использовать именно этот метод для проникновения на компьютеры пользователей.

Оцените материал:
Total votes: 184
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.