Mar a tha fios agad, tha an còd a chaidh a chuir gu bàs anns a’ chuartachadh air a chuingealachadh gu mòr na ghnìomhachd. Chan urrainn dha gairmean siostam a dhèanamh. Chan urrainn dha gnìomhachd I/O a dhèanamh. Chan eil fios aige air an t-seòladh bunaiteach ann an roinn còd an tagraidh aoigheachd. Chan urrainn dha jmp no còd tagraidh aoigheachd a ghairm. Chan eil beachd sam bith aige mun structar àite seòlaidh a bhios a’ riaghladh an tagradh aoigheachd (mar eisimpleir, dè na duilleagan a tha air am mapadh no dè an seòrsa dàta a tha suidhichte air na duilleagan sin). Chan urrainn dha iarraidh air an t-siostam obrachaidh pìos de chuimhne an aplacaid aoigheachd a mhapadh dha (mar eisimpleir, tro / proc/pid/maps). Bidh oidhirpean naive gus roinn cuimhne neo-riaghailteach de thagradh aoigheachd a leughadh gu dall, gun a bhith a’ toirt iomradh air oidhirpean sgrìobhadh, nas luaithe no nas fhaide (is dòcha am fear roimhe) a’ leantainn gu crìoch èiginneach air a’ phrògram cuairteachaidh. Bidh seo a’ tachairt nuair a tha an raon fànais seòlaidh brìgheil a dh ’iarr an enclave do-ruigsinneach don tagradh aoigheachd.
Leis na fìrinnean cho cruaidh, am bi e comasach do sgrìobhadair bhìoras enclaves SGX a chleachdadh gus na h-amasan droch-rùnach aige a choileanadh?
Stèidhichte air a h-uile rud gu h-àrd, thathas a’ gabhail ris sa chumantas nach urrainn don chuartachadh ach an tagradh aoigheachd a fhrithealadh, agus nach urrainn don enclave an iomairt aige fhèin a chleachdadh, a’ toirt a-steach feadhainn droch-rùnach. Tha seo a’ ciallachadh nach eil enclaves luachmhor sam bith do sgrìobhadairean bhìoras. Is e am barail sgiobalta seo aon de na h-adhbharan airson gu bheil dìon SGX neo-chunbhalach: chan urrainn do chòd tagraidh aoigheachd faighinn gu cuimhne dùn, fhad ‘s as urrainn don chòd cuairteachaidh leughadh agus sgrìobhadh gu seòladh cuimhne tagradh aoigheachd sam bith.
Mar sin, nam biodh e comasach dha còd dùmhlachaidh droch-rùnach fiosan siostam neo-riaghailteach a dhèanamh às leth an aplacaid aoigheachd, còd neo-riaghailteach a chuir an gnìomh às a leth, scan cuimhne an aplacaid aoigheachd agus lorg slabhraidhean ROP mì-chleachdadh ann, dh’ fhaodadh e smachd iomlan a ghlacadh air an tagradh aoigheachd, ann an modh stealth. Chan urrainn dha a-mhàin faidhlichean luchd-cleachdaidh a ghoid agus a chrioptachadh, ach cuideachd a bhith ag obair às leth an neach-cleachdaidh. Mar eisimpleir, cuir post-d fiasgach às a leth no giùlain ionnsaighean DoS. Gun eagal eadhon air na h-innealan dìon as ùire, leithid cruachan canaries agus slàinteachas aghaidh.
Seallaidh sinn dhut beagan hacks a bhios luchd-ionnsaigh a’ cleachdadh gus faighinn thairis air na crìochan a tha air am mìneachadh gu h-àrd gus brath a ghabhail air SGX airson an adhbharan droch-rùnach fhèin: ionnsaighean ROP. An dàrna cuid gus còd neo-riaghailteach a chuir an gnìomh mar phròiseas tagraidh aoigheachd (coltach ri bhith a’ giullachd lagachadh, a bhios gu tric air a chleachdadh le malware), no gus malware deiseil a chuir am falach (gus an malware aige a shàbhaladh bho gheur-leanmhainn le anti-bhìorasan agus dòighean dìon eile).
Hack airson seòlaidhean sgrùdaidh feuch an gabh an leughadh
Leis nach eil fios aig a ’chuartachadh dè na raointean den àite seòlaidh brìgheil a tha ruigsinneach don tagradh aoigheachd, agus leis gu bheil an dùn air a thoirt gu crìch nuair a dh’ fheuchas e ri seòladh do-ruigsinneach a leughadh, tha e mar dhleastanas air an neach-ionnsaigh dòigh a lorg airson locht- gu fulangach scan an àite seòlaidh. Lorg dòigh air seòlaidhean brìgheil a tha rim faighinn a mhapadh. Bidh an villain a ’fuasgladh na duilgheadas seo le bhith a’ mì-chleachdadh teicneòlas TSX Intel. A’ cleachdadh aon de bhuaidhean TSX: ma tha an gnìomh ruigsinneachd cuimhne air a chuir ann an gnothach TSX, bidh TSX a’ cumail a-mach eisgeachdan ag èirigh bho bhith a’ faighinn gu seòlaidhean mì-dhligheach gun a bhith a’ ruighinn an t-siostam obrachaidh. Ma thèid oidhirp a dhèanamh faighinn gu seòladh cuimhne mì-dhligheach, cha tèid ach an gnothach làithreach a sguireadh, chan e am prògram cuairteachaidh gu lèir. Sin. Leigidh TSX le enclave faighinn gu tèarainte gu seòladh sam bith taobh a-staigh malairt - gun chunnart tuiteam.
ma tha an seòladh ainmichte ri fhaighinn tagradh aoigheachd, mar as trice bidh malairt TSX soirbheachail. Ann an cùisean ainneamh, dh’ fhaodadh e fàiligeadh mar thoradh air buaidhean bhon taobh a-muigh leithid brisidhean (leithid briseadh clàr-ama), fuadaichean tasgadan, no atharrachadh aig an aon àm air àite cuimhne le grunn phròiseasan. Anns na cùisean tearc sin, bidh an TSX a ’tilleadh còd mearachd a’ nochdadh gu bheil am fàiligeadh sealach. Anns na cùisean sin, chan fheum thu ach an gnothach ath-thòiseachadh.
ma chan eil an seòladh ainmichte ri fhaighinn tagradh aoigheachd, tha TSX a’ cuir às don eisgeachd a thachair (chan eilear a’ cur fios chun OS) agus a’ cur stad air a’ ghnothach. Thèid còd mearachd a thilleadh chun chòd dùnaidh gus an urrainn dha dèiligeadh ris gu bheil an gnothach air a chuir dheth. Tha na còdan mearachd seo a’ nochdadh nach eil an seòladh sin ri fhaighinn don tagradh aoigheachd.
Tha feart math aig an làimhseachadh seo de TSX bhon taobh a-staigh den chuartachadh don neach a tha fo chasaid: leis nach eil a’ mhòr-chuid de chunntair dèanadais bathar-cruaidh air an ùrachadh aig an àm a thèid an còd cuairteachaidh a chuir gu bàs, tha e do-dhèanta sùil a chumail air gnothaichean TSX a chaidh a chuir gu bàs taobh a-staigh a’ chuartachaidh. Mar sin, tha làimhseachadh droch-rùnach an TSX fhathast gu tur do-fhaicsinneach don t-siostam obrachaidh.
A bharrachd air an sin, leis nach eil an hack gu h-àrd an urra ri fiosan siostam sam bith, chan urrainnear a lorg no a chasg le bhith dìreach a’ bacadh gairmean siostaim; a tha mar as trice a 'toirt seachad toradh dearbhach anns an t-strì an aghaidh sealg uighean.
Bidh an villain a’ cleachdadh an hack a tha air a mhìneachadh gu h-àrd gus còd tagraidh aoigheachd a sgrùdadh airson innealan a tha freagarrach airson slabhraidh ROP a chruthachadh. Aig an aon àm, chan fheum e sgrùdadh a dhèanamh air a h-uile seòladh. Tha e gu leòr aon sheòladh a sgrùdadh bho gach duilleag den àite seòladh brìgheil. Bheir sgrùdadh air na 16 gigabytes de chuimhne timcheall air 45 mionaidean (air Intel i7-6700K). Mar thoradh air an sin, gheibh an villain liosta de dhuilleagan so-ghnìomhaichte a tha freagarrach airson slabhraidh ROP a thogail.
Hack airson seòlaidhean sgrùdaidh airson sgrìobhadh
Gus dreach enclave de ionnsaigh ROP a dhèanamh, feumaidh neach-ionnsaigh a bhith comasach air raointean cuimhne nach gabh a chleachdadh a lorg den tagradh aoigheachd. Bidh an neach-ionnsaigh a’ cleachdadh na h-àiteachan cuimhne sin gus frèam stac meallta a chuir a-steach agus gus uallach pàighidh (còd slige a thoirt a-steach). Is e an loidhne gu h-ìosal nach urrainn do chuartachadh droch-rùnach iarraidh air an tagradh aoigheachd cuimhne a riarachadh dha fhèin, ach an àite sin faodaidh e mì-chleachdadh a dhèanamh air cuimhne a chaidh a riarachadh mar-thà leis an tagradh aoigheachd. Ma tha, gu dearbh, bidh e comasach dha raointean mar sin a lorg gun a bhith a’ tuiteam às a’ chuartachadh.
Bidh an villain a’ dèanamh an sgrùdaidh seo le bhith a’ gabhail brath air taobh eile de bhuaidh TSX. An toiseach, mar anns a’ chùis roimhe, bidh e a’ sgrùdadh an t-seòlaidh airson a bhith ann, agus an uairsin a’ sgrùdadh a bheil an duilleag a tha co-chosmhail ris an t-seòladh seo comasach a sgrìobhadh. Gus seo a dhèanamh, bidh an t-eucoir a’ cleachdadh an t-seic a leanas: bidh e a’ cur gnìomh sgrìobhaidh ann an gnothach TSX, agus às deidh dha a bhith air a chrìochnachadh, ach mus bi e deiseil, bidh e gu làidir a’ cur às don ghnothach (sgaradh soilleir).
Le bhith a’ coimhead air a’ chòd tilleadh bho ghnothach TSX, tuigidh an neach-ionnsaigh a bheil e comasach sgrìobhadh. Mas e “casgachadh soilleir” a th’ ann, tha an villain a’ tuigsinn gum biodh an clàradh air a bhith soirbheachail nan leanadh e leis. Ma tha an duilleag ri leughadh a-mhàin, thig an gnothach gu crìch le mearachd a bharrachd air “casg soilleir”.
Tha feart eile aig an làimhseachadh seo de TSX a tha math don neach-eucoir (a bharrachd air cho comasach ‘s a tha e sùil a chumail tro chunntair dèanadais bathar-cruaidh): leis gu bheil a h-uile òrdugh sgrìobhadh cuimhne air a ghealltainn dìreach ma tha an gnothach soirbheachail, a’ toirt air a ’ghnothach a chrìochnachadh a’ dèanamh cinnteach gu bheil an cealla cuimhne dearbhaidh fhathast gun atharrachadh.
Hack gus smachd a chumail air sruth
Nuair a bhios e a’ dèanamh ionnsaigh ROP bho chuartachadh - eu-coltach ri ionnsaighean traidiseanta ROP - faodaidh an neach-ionnsaigh smachd fhaighinn air a’ chlàr RIP gun a bhith a’ gabhail brath air biastagan sam bith sa phrògram ionnsaigh (thar-shruth bufair no rudeigin mar sin). Faodaidh neach-ionnsaigh ath-sgrìobhadh gu dìreach air luach a’ chlàr RIP a tha air a stòradh air a’ chruach. Gu sònraichte, faodaidh e an t-sèine ROP aige fhèin a chuir an àite luach a’ chlàir seo.
Ach, ma tha an t-sreath ROP fada, faodaidh ath-sgrìobhadh pìos mòr de chruach an tagraidh aoigheachd leantainn gu coirbeachd dàta agus giùlan prògram ris nach robh dùil. Chan eil an villain, a tha a 'feuchainn ris an ionnsaigh aige a dhèanamh gu dìomhair, riaraichte leis an t-suidheachadh seo. Mar sin, bidh e a’ cruthachadh frèam stac sealach dha fhèin agus a’ stòradh an t-sreath ROP aige ann. Tha am frèam stac meallta air a chuir ann an àite cuimhne a ghabhas sgrìobhadh air thuaiream, a’ fàgail an fhìor chruach slàn.
Dè tha na trì hacks air an liostadh gu h-àrd a’ toirt don villain?
(1) An toiseach, an cuairteachadh droch-rùnach troimhe hack airson seòlaidhean sgrùdaidh feuch an gabh an leughadh, - a’ sgrùdadh an aplacaid aoigheachd airson innealan ROP a tha mì-chleachdadh.
(2) An sin le hack airson seòlaidhean sgrùdaidh airson sgrìobhadh, - bidh enclave droch-rùnach a’ comharrachadh raointean ann an cuimhne an aplacaid aoigheachd a tha freagarrach airson uallach pàighidh a chuir a-steach.
(3) An uairsin, bidh an enclave a’ cruthachadh slabhraidh ROP bho na h-innealan a chaidh a lorg ann an ceum (1) agus a ’stealladh an t-seine seo a-steach don stac tagraidh aoigheachd.
(4) Mu dheireadh, nuair a choinnicheas an tagradh aoigheachd ris an t-sèine ROP a chaidh a chruthachadh sa cheum roimhe, bidh an t-uallach pàighidh droch-rùnach a ’tòiseachadh a’ coileanadh - le sochairean an tagraidh aoigheachd agus an comas fiosan siostam a dhèanamh.
Mar a bhios villain a’ cleachdadh na hacks sin gus ranzowari a chruthachadh
Às deidh don tagradh aoigheachd smachd a ghluasad chun chuartan tro aon de na ECALLs (gun a bhith fo amharas gu bheil an enclave seo droch-rùnach), bidh an dùn droch-rùnach a’ lorg àite an-asgaidh mar chuimhneachan air an tagradh aoigheachd airson còd in-stealladh (a’ gabhail mar àiteachan an-asgaidh na sreathan de cheallan sin a tha air a lìonadh le neoni). An uairsin troimhe hack airson seòlaidhean sgrùdaidh feuch an gabh an leughadh, - bidh an enclave a’ lorg duilleagan so-ghnìomhaichte san tagradh aoigheachd agus a’ gineadh sèine ROP a chruthaicheas faidhle ùr leis an t-ainm “RANSOM” anns an eòlaire gnàthach (ann an ionnsaigh dha-rìribh, bidh an cuairteachadh a’ cuairteachadh na faidhlichean cleachdaiche a th’ ann mar-thà) agus a’ taisbeanadh teachdaireachd airgead-fuadain. Aig an aon àm, tha an tagradh aoigheachd gu naive den bheachd gu bheil an enclave dìreach a ’cur dà àireamh ris. Cò ris a tha seo coltach ann an còd?
Gus am bi e furasta fhaicinn, bheir sinn a-steach cuid de cho-fhaclan tro na mìneachaidhean:
Bidh sinn a’ sàbhaladh luachan tùsail nan clàran RSP agus RBP gus obrachadh àbhaisteach an tagraidh aoigheachd a thoirt air ais às deidh dhuinn an t-uallach pàighidh a chuir an gnìomh:
Tha sinn a’ coimhead airson frèam stac a tha iomchaidh (faic an còd bhon earrainn “hack airson sruth smachd ath-stiùireadh”).
Lorg innealan ROP iomchaidh:
Lorg àite airson an t-uallach pàighidh a thoirt a-steach:
Bidh sinn a’ togail slabhraidh ROP:
Seo mar a tha teicneòlas SGX Intel, a chaidh a dhealbhadh gus cuir an-aghaidh prògraman droch-rùnach, air a chleachdadh le luchd-eucoir gus amasan eile a choileanadh.
Source: www.habr.com