បច្ចេកទេសថ្មីសម្រាប់ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៅក្នុង SQLite ត្រូវបានណែនាំ។

អ្នកស្រាវជ្រាវមកពី Check Point បើកចំហ នៅក្នុងសន្និសិទ DEF CON ព័ត៌មានលម្អិតនៃបច្ចេកទេសថ្មីសម្រាប់វាយប្រហារកម្មវិធីដោយប្រើកំណែងាយរងគ្រោះនៃ SQLite ។ វិធីសាស្ត្រ Check Point ចាត់ទុកឯកសារមូលដ្ឋានទិន្នន័យជាឱកាសមួយក្នុងការរួមបញ្ចូលសេណារីយ៉ូសម្រាប់ការទាញយកភាពងាយរងគ្រោះនៅក្នុងប្រព័ន្ធរង SQLite ខាងក្នុងផ្សេងៗ ដែលមិនមានលទ្ធភាពទាញយកដោយផ្ទាល់។ អ្នកស្រាវជ្រាវក៏បានរៀបចំបច្ចេកទេសសម្រាប់ការទាញយកភាពងាយរងគ្រោះដោយការអ៊ិនកូដការកេងប្រវ័ញ្ចក្នុងទម្រង់ជាខ្សែសង្វាក់នៃសំណួរ SELECT នៅក្នុងមូលដ្ឋានទិន្នន័យ SQLite ដែលអនុញ្ញាតឱ្យអ្នករំលង ASLR ។

សម្រាប់ការវាយប្រហារដោយជោគជ័យ វាចាំបាច់ក្នុងការកែប្រែឯកសារមូលដ្ឋានទិន្នន័យនៃកម្មវិធីដែលបានវាយប្រហារ ដែលកំណត់វិធីសាស្ត្រក្នុងការវាយប្រហារលើកម្មវិធីដែលប្រើមូលដ្ឋានទិន្នន័យ SQLite ជាទម្រង់សម្រាប់ឆ្លងកាត់ និងបញ្ចូលទិន្នន័យ។ វិធីសាស្រ្តនេះក៏អាចត្រូវបានប្រើដើម្បីពង្រីកការចូលប្រើក្នុងតំបន់ដែលមានស្រាប់ ជាឧទាហរណ៍ ដើម្បីរួមបញ្ចូល backdoors ដែលលាក់ចូលទៅក្នុងកម្មវិធីដែលបានប្រើ ក៏ដូចជាដើម្បីរំលងយន្តការសុវត្ថិភាពនៅពេលវិភាគមេរោគដោយអ្នកស្រាវជ្រាវសុវត្ថិភាព។ ប្រតិបត្តិការបន្ទាប់ពីការជំនួសឯកសារត្រូវបានអនុវត្តនៅពេលនេះ កម្មវិធីដំណើរការសំណួរ SELECT ដំបូងប្រឆាំងនឹងតារាងក្នុងមូលដ្ឋានទិន្នន័យដែលបានកែប្រែ។

ជាឧទាហរណ៍ យើងបានបង្ហាញពីសមត្ថភាពក្នុងការដំណើរការកូដនៅក្នុង iOS នៅពេលបើកសៀវភៅអាសយដ្ឋាន ឯកសារដែលមានមូលដ្ឋានទិន្នន័យ "AddressBook.sqlitedb" ត្រូវបានកែប្រែដោយប្រើវិធីសាស្ត្រដែលបានស្នើឡើង។ ការវាយប្រហារបានប្រើប្រាស់ភាពងាយរងគ្រោះនៅក្នុងមុខងារ fts3_tokenizer (CVE-2019-8602, pointer dereference capability) ដែលបានជួសជុលនៅក្នុងការធ្វើបច្ចុប្បន្នភាពខែមេសា SQLite 2.28 រួមជាមួយនឹងកម្មវិធីមួយទៀត ភាពងាយរងគ្រោះ នៅក្នុងការអនុវត្តមុខងារបង្អួច។ លើសពីនេះ ការប្រើប្រាស់វិធីសាស្រ្តសម្រាប់ការរឹបអូសពីចម្ងាយនៃម៉ាស៊ីនមេ backend របស់អ្នកវាយប្រហារដែលសរសេរក្នុង PHP ដែលប្រមូលផ្តុំពាក្យសម្ងាត់ដែលស្ទាក់ចាប់អំឡុងពេលប្រតិបត្តិការកូដព្យាបាទ (ពាក្យសម្ងាត់ស្ទាក់ចាប់ត្រូវបានបញ្ជូនជាទម្រង់មូលដ្ឋានទិន្នន័យ SQLite) ត្រូវបានបង្ហាញ។

វិធីសាស្ត្រវាយប្រហារគឺផ្អែកលើការប្រើប្រាស់បច្ចេកទេសពីរគឺ “Query Hijacking” និង “Query Oriented Programming” ដែលអនុញ្ញាតឱ្យមានការកេងប្រវ័ញ្ចបញ្ហាតាមអំពើចិត្តដែលនាំឱ្យខូចការចងចាំនៅក្នុងម៉ាស៊ីន SQLite ។ ខ្លឹមសារនៃ "ការលួចសំណួរ" គឺដើម្បីជំនួសមាតិកានៃវាល "sql" នៅក្នុងតារាងសេវាកម្ម sqlite_master ដែលកំណត់រចនាសម្ព័ន្ធនៃមូលដ្ឋានទិន្នន័យ។ វាលដែលបានបញ្ជាក់មានប្លុក DDL (ភាសានិយមន័យទិន្នន័យ) ដែលត្រូវបានប្រើដើម្បីពិពណ៌នាអំពីរចនាសម្ព័ន្ធរបស់វត្ថុនៅក្នុងមូលដ្ឋានទិន្នន័យ។ ការពិពណ៌នាត្រូវបានបញ្ជាក់ដោយប្រើវាក្យសម្ព័ន្ធ SQL ស្តង់ដារ i.e. សំណង់ "CREATE TABLE" ត្រូវបានប្រើ
ដែល​ត្រូវ​បាន​ប្រតិបត្តិ​ក្នុង​អំឡុង​ពេល​ដំណើរ​ការ​ចាប់​ផ្តើ​ម​មូលដ្ឋាន​ទិន្នន័យ (កំឡុង​ពេល​ចាប់​ផ្តើម​ដំបូង
sqlite3LocateTable មុខងារដើម្បីបង្កើតរចនាសម្ព័ន្ធខាងក្នុងដែលទាក់ទងនឹងតារាងនៅក្នុងអង្គចងចាំ។

គំនិតនេះគឺថាជាលទ្ធផលនៃការជំនួស "CREATE TABLE" ជាមួយ "CREATE VIEW" វាអាចគ្រប់គ្រងការចូលទៅកាន់មូលដ្ឋានទិន្នន័យដោយកំណត់ទិដ្ឋភាពផ្ទាល់ខ្លួនរបស់អ្នក។ ដោយប្រើ "CREATE VIEW" ប្រតិបត្តិការ "SELECT" ត្រូវបានចងភ្ជាប់ទៅនឹងតារាង ដែលនឹងត្រូវបានហៅជំនួសឱ្យ "CREATE TABLE" និងអនុញ្ញាតឱ្យអ្នកចូលប្រើផ្នែកផ្សេងៗនៃអ្នកបកប្រែ SQLite ។ បន្ទាប់មក វិធីសាស្ត្រវាយប្រហារដ៏សាមញ្ញបំផុតគឺត្រូវហៅមុខងារ “load_extension” ដែលអនុញ្ញាតឱ្យអ្នកផ្ទុកបណ្ណាល័យតាមអំពើចិត្តជាមួយនឹងផ្នែកបន្ថែម ប៉ុន្តែមុខងារនេះត្រូវបានបិទតាមលំនាំដើម។

ដើម្បីអនុវត្តការវាយប្រហារនៅពេលដែលអាចអនុវត្តប្រតិបត្តិការ "SELECT" បច្ចេកទេស "Query Oriented Programming" ត្រូវបានស្នើឡើង ដែលធ្វើឱ្យវាអាចទាញយកបញ្ហានៅក្នុង SQLite ដែលនាំឱ្យខូចការចងចាំ។ បច្ចេកទេសគឺនឹកឃើញដល់ការសរសេរកម្មវិធីតម្រង់ទិសត្រឡប់មកវិញ (R.O.P.Return-Oriented Programming) ប៉ុន្តែ​មិន​ប្រើ​លេខ​កូដ​ម៉ាស៊ីន​ដែល​មាន​ស្រាប់​ដើម្បី​បង្កើត​ខ្សែ​សង្វាក់​នៃ​ការ​ហៅ​ទូរសព្ទ ("ឧបករណ៍") ប៉ុន្តែ​បញ្ចូល​ក្នុង​សំណុំ​នៃ​សំណួរ​រង​នៅ​ក្នុង SELECT ។

ប្រភព: opennet.ru