Kees Cook, fost administrator șef de sistem al kernel.org și lider Ubuntu Echipa de securitate lucrează acum la Google pentru a asigura securitatea Android și ChromeOS au publicat un set de patch-uri care implementează randomizarea offset-ului stivei kernelului la gestionarea apelurilor de sistem. Patch-urile îmbunătățesc securitatea kernelului prin modificarea aspectului stivei, ceea ce face ca atacurile stivei să fie semnificativ mai dificile și mai puțin reușite. Implementarea inițială acceptă procesoare ARM64 și x86/x86_64.
Ideea originală pentru patch a venit din proiectul PaX RANDKSTACK. În 2019, Elena Reshetova, inginer la Intel, a încercat să creeze o implementare a acestei idei potrivită pentru includerea în kernelul principal. LinuxInițiativa a fost preluată ulterior de Keith Cook, care a prezentat o implementare potrivită pentru versiunea principală a kernelului. Sunt planificate patch-uri pentru a fi incluse în versiunea 5.13. Modul va fi dezactivat în mod implicit. Sunt propuse parametrul din linia de comandă a kernelului „randomize_kstack_offset=on/off” și setarea CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT pentru activarea acestuia. Costul suplimentar al activării modului este estimat la o pierdere de performanță de aproximativ 1%.
Esența protecției propuse este alegerea unui decalaj ale stivei pentru fiecare apel de sistem, ceea ce face dificilă determinarea aspectului stivei în memorie, chiar și după primirea datelor de adresă, deoarece următorul apel de sistem va schimba adresa de bază a stivei. Spre deosebire de implementarea PaX RANDKSTACK, în patch-urile propuse pentru includerea în kernel, randomizarea se realizează nu în stadiul inițial (cpu_current_top_of_stack), ci după setarea structurii pt_regs, ceea ce face imposibilă utilizarea metodelor bazate pe ptrace pentru a determina offset-ul randomizat. în timpul unui apel de sistem de lungă durată.
Sursa: opennet.ru
