ASLR 우회 위해 추측 실행을 사용하는 새로운 BlindSide 공격

New BlindSide attack uses speculative execution to bypass ASLR

 

학자들이 안전한 컴퓨터 시스템을 공격하기 위하여 일반적으로 성능 최적화를 위해 사용되는 CPU 메커니즘인 추측 실행을 악용하는 새로운 기술을 개발해냈습니다.

 

BlindSide라 명명된 이 기술은 지난 주 뉴저지의 Stevens 공과대학, 취리히 공과대학, 암스테르담 자유대학의 연구 팀이 지난 주 발행한 논문 [PDF]에 소개되었습니다.

 

연구원들은 BlindSide을 통해 ASLR을 우회하는 익스플로잇을 개발할 수 있다고 설명했습니다.

 

ASLR을 우회 가능한 BLINDSIDE

 

공격자에게 메모리 주소는 매우 중요합니다. 공격자가 앱이 메모리 내 어디에서 코드를 실행시키는지 알 수 있을 경우, 해커는 특정 애플리케이션을 공격하는 익스플로잇을 미세하게 조정하여 정보를 훔칠 수 있습니다.

ASLR은 메모리 내에서 코드가 실행되는 위치를 랜덤화하여 공격자가 ASLR을 우회하는 길을 찾아내지 않는 이상 공격을 효과적으로 막아낼 수 있습니다.

 

공격자가 ASLR을 우회하기 위해서는 일반적으로 메모리 위치를 누출하는 “정보 유출” 타입 취약점을 찾거나 다른 앱이 실행되기에 적절한 위치를 찾을 때까지 메모리를 탐색하여 해당 메모리 공간을 노리도록 코드를 수정할 수 있습니다.

 

이 두 기술은 모두 실행이 어렵습니다. 특히 2번째 기술의 경우 시스템이 중단되거나 보안 시스템에 탐지될 가능성이 있습니다.

 

이 새로운 BlindSide 공격은 탐색 동작을 추측 실행 영역으로 이동하여 실행하는 방식을 사용합니다.

 

기존 문제를 해결하는 추측 실행

 

추측 실행은 최신 프로세서에 탑재된 성능 향상 기능입니다. CPU는 추측 실행을 통해 메인 계산 스레드와 병렬로 작업을 미리 실행합니다.

 

메인 CPU 스레드가 특정 지점에 도달하면 추측 실행은 이미 계산된 값을 고르고 다음 작업으로 넘어갈 수 있도록 합니다. 그 결과 계산 작업의 속도가 향상됩니다. 추측 실행 중 계산된 모든 값은 OS에 아무런 영향을 주지 않고 폐기됩니다.

 

BlindSide는 공격자가 ASLR을 우회할 때까지 추측 실행 도메인에서 소프트웨어 애플리케이션의 취약점을 반복적으로 악용하여 메모리를 조사합니다.

 

이 공격은 예측 실행 영역 내에서 발생하기 때문에 실패한 탐색 및 충돌 모두 CPU나 안정성에 영향을 미치지 않습니다.

 

공격자에게 필요한 것은 시스템에서 악용이 가능한 단순한 메모리 충돌 취약점입니다. 이들은 논문을 통해 리눅스 커널에서 단일 버퍼 오버플로우 취약점만을 이용해 아래 작업이 가능했다고 밝혔습니다.

 

1.    안정적인 ROP 익스플로잇을 마운트 하기 위해 BlindSide를 통해 KASLR을 깨트림

2.    (루트 패스워드 해시를 유출하는) 아키텍쳐 데이터 전용 익스플로잇을 마운트 하기 위해 BlindSide를 통해 임의 랜덤화 체계를 깨트림

3.    세분화된 랜덤화를 깨트리고, 커널 실행 전용 메모리가 커널 텍스트 전체를 덤프하고 안정적인 ROP 익스플로잇을 마운트하도록 함

 

이 취약점에 대한 익스플로잇 데모는 여기에서 확인하실 수 있습니다.

 

연구원들은 공격자들이 ASLR을 걱정할 필요 없이 BlindSide를 통해 “블라인드 해킹”을 효과적으로 수행할 수 있다고 밝혔습니다.

 

BlindSide 공격은 아키텍쳐에 상관없이 작동합니다. 인텔 및 AMD CPU에서 모두 테스트 완료되었습니다.

 

또한 BlindSide 공격은 최근 CPU 제조 업체에서 Spectre 및 Meltdown에 대응하기 위해 추가한 완화 조치에도 상관없이 작동합니다.

 

연구팀은 OS 제조업체가 BlindSide 공격에 대응하기 위해 사용할 수 있는 몇 가지 완화법을 제시했습니다.

 

 

 

 

출처:

https://www.zdnet.com/article/new-blindside-attack-uses-speculative-execution-to-bypass-aslr/

https://download.vusec.net/papers/blindside_ccs20.pdf