Vor einer aktuell kritischen Sicherheitsl\u00fccke von \u00e4lteren Microsoft Server Versionen, Windows 11 und Windows 10 wird in einem aktuellen Artikel auf heise.de<\/a> gewarnt.<\/p>\n\n\n\n Diese offen gelegten Schwachstellen \/ Sicherheitsl\u00fccken werden in einer \u00f6ffentlichen Online-Datenbank<\/a> aufgelistet:<\/p>\n\n\n\n Konkret handelt es sich dabei um die Ausnutzung von Heap-Overflows f\u00fcr das Einschleusen von Schadcode \/ sch\u00e4dlichem Code. In diesem Artikel m\u00f6chte ich darauf eingehen, wie solche Heap-Overflows funktionieren, indem ich die Fragen beantworte, die sich mir vorher gestellt hatten.<\/p>\n\n\n\n Zun\u00e4chst ist eine Abgrenzung dar\u00fcber n\u00f6tig, was ein Heap eigentlich ist. In der Informatik gibt es zwei verschiedene Konzepte, die beide als „Heap“ bezeichnet werden:<\/p>\n\n\n\n Im Nachfolgenden beziehen wir uns auf Definition 1<\/strong>, da der Heap im dynamisch anforderbaren Speicherbereich liegt. Der Prozess kann also von diesem Bereich neuen Speicher f\u00fcr sich anfordern. Der Heap des Prozessspeichers beschr\u00e4nkt sich bei modernen Betriebssystemen auf den ausgef\u00fchrten Prozess, was bedeutet dass ein Prozess nicht auf den Prozessspeichers eines anderen Prozesses zugreifen kann. Bei fr\u00fcheren Betriebssystemen wie beispielsweise MS DOS war dies noch nicht der Fall, da man hier z.B. direkt in den Bildwiederholspeicher Pixel in einer Farbe durch Speichermanipulation setzen konnte.<\/p>\n\n\n\n Nein, die Besch\u00e4digung bei einem Heap Overflow ist nicht physisch. Sie betrifft den Speicherbereich des Computers und f\u00fchrt zu einer logischen Besch\u00e4digung<\/strong> der Daten. Das bedeutet, dass die Daten im Speicher durcheinandergebracht oder \u00fcberschrieben werden, was zu Programmabst\u00fcrzen, unerwartetem Verhalten oder Sicherheitsl\u00fccken f\u00fchren kann. Physische Hardware wird dabei nicht besch\u00e4digt.<\/p>\n\n\n\n Stellen wir uns vor, ein Programm verwendet die Funktion Ein konkretes Beispiel ist der Heap Overflow Angriff auf den Microsoft Internet Explorer<\/strong> im Jahr 2014. Angreifer nutzten eine Schwachstelle aus, bei der sie durch gezielte Manipulation des Heaps die Kontrolle \u00fcber den Programmfluss<\/em><\/strong> erlangen konnten. Sie \u00fcberschrieben kritische Datenstrukturen im Speicher und f\u00fchrten so sch\u00e4dlichen Code aus<\/p>\n\n\n\n Solche Angriffe k\u00f6nnen schwerwiegende Folgen haben, einschlie\u00dflich Datenverlust, unbefugtem Zugriff auf Systeme und der Ausf\u00fchrung von Schadsoftware.<\/p>\n\n\n\n Kontrollstrukturen wie Schleifen, Bedingungen und Funktionsaufrufe werden im Speicher durch den Programmcode und die zugeh\u00f6rigen Datenstrukturen repr\u00e4sentiert. Hier ist eine kurze \u00dcbersicht, wie sie im Speicher organisiert sind:<\/p>\n\n\n\n Ein Beispiel f\u00fcr eine Sicherheitsl\u00fccke durch einen Heap Overflow ist, wenn ein Angreifer den Heap so manipuliert, dass er die Kontrollstrukturen im Speicher \u00fcberschreibt. Dadurch kann der Angreifer den Programmfluss \u00e4ndern und sch\u00e4dlichen Code ausf\u00fchren<\/p>\n\n\n\n Ja, ein Beispiel f\u00fcr eine Kontrollstruktur, die im Heap gespeichert wird und manipuliert werden kann, sind Zeiger auf Funktionszeiger<\/strong> innerhalb von Datenstrukturen. Hier ist ein konkretes Szenario:<\/p>\n\n\n\n Stellen wir uns vor, ein Programm verwendet eine Datenstruktur, die einen Funktionszeiger enth\u00e4lt. Dieser Funktionszeiger zeigt auf eine Routine, die aufgerufen wird, wenn bestimmte Bedingungen erf\u00fcllt sind. Wenn ein Heap Overflow auftritt, kann ein Angreifer den Funktionszeiger \u00fcberschreiben und ihn auf eine sch\u00e4dliche Routine umleiten.<\/p>\n\n\n\n Ein Beispiel f\u00fcr einen solchen Angriff ist der Heap Overflow Angriff auf den iOS-Kernel<\/strong>. In diesem Fall wurde der Heap so manipuliert, dass ein \u00fcberlaufener Speicherbereich mit einem kritischen Datenobjekt kollidierte. Der Angreifer konnte dadurch den Funktionszeiger innerhalb des Datenobjekts \u00fcberschreiben und die Kontrolle \u00fcber den Programmfluss \u00fcbernehmen.<\/p>\n\n\n\n In dem beschriebenen Szenario hat der Angreifer den Funktionszeiger im Heap-Speicherbereich<\/strong> \u00fcberschrieben. Der Heap wird f\u00fcr dynamische Speicherzuweisungen verwendet, und in diesem Fall wurde ein Funktionszeiger innerhalb einer Datenstruktur im Heap manipuliert. Durch den Heap Overflow konnte der Angreifer den Funktionszeiger so \u00e4ndern, dass er auf sch\u00e4dlichen Code zeigt, anstatt auf die urspr\u00fcnglich vorgesehene Funktion.<\/p>\n\n\n\n Der sch\u00e4dliche Code, auf den der Funktionszeiger umgeschrieben wurde, kann sich an verschiedenen Stellen im Speicher befinden. H\u00e4ufig wird er jedoch im Heap<\/strong> oder im Textsegment<\/strong> des Speichers platziert. <\/p>\n\n\n\n Hier sind die beiden h\u00e4ufigsten Szenarien:<\/p>\n\n\n\n Es ist m\u00f6glich, den Heap-Speicherinhalt auf seinem Rechner anzuzeigen, allerdings erfordert dies spezielle Tools und Kenntnisse. Hier sind einige Methoden, wie der Heap-Speicher untersucht werden kann:<\/p>\n\n\n\n Hier ist ein einfaches Beispiel, wie man mit GDB den Heap-Speicher eines Programms untersuchen kannst:<\/p>\n\n\n In diesem Beispiel ersetzt man Das Finden einer Benutzereingabe, die zu einem Heap Overflow f\u00fchrt, ist eine komplexe Aufgabe und erfordert ein tiefes Verst\u00e4ndnis des Zielprogramms sowie der Art und Weise, wie es Speicher verwaltet. Hier sind einige Schritte, die oft verwendet werden:<\/p>\n\n\n\n Hier ist ein einfaches Beispiel f\u00fcr Fuzzing mit AFL:<\/p>\n\n\n Dieser Code sollte nur zu Lernzwecken dienen und nicht in einer produktiven Umgebung verwendet werden, da er Sicherheitsrisiken birgt.<\/p>\n\n\n\n Hier ist ein Beispielcode:<\/p>\n\n\n In diesem Beispiel wird ein Puffer von 10 Bytes auf dem Heap allokiert. Die Funktion Mann kann dieses Programm kompilieren und ausf\u00fchren, um das Verhalten zu beobachten:<\/p>\n\n\n Dies wird zu einem Heap Overflow f\u00fchren und m\u00f6glicherweise das Programm zum Absturz bringen oder unerwartetes Verhalten verursachen.<\/p>\n\n\n\n Nein, dieses Programm kann nicht direkt Speicherbereiche anderer Programme \u00fcberschreiben und manipulieren. In modernen Betriebssystemen gibt es Schutzmechanismen, die verhindern, dass ein Programm auf den Speicherbereich eines anderen Programms zugreift. Diese Schutzmechanismen umfassen:<\/p>\n\n\n\n Ein Heap Overflow innerhalb eines Programms kann jedoch dazu f\u00fchren, dass das Programm selbst abst\u00fcrzt oder unerwartetes Verhalten zeigt. In einem Szenario, in dem ein Angreifer den Heap Overflow ausnutzt, k\u00f6nnte der Angreifer sch\u00e4dlichen Code innerhalb des betroffenen Programms ausf\u00fchren, aber nicht direkt andere Programme beeinflussen.<\/p>\n\n
Was ist der „Heap“, der \u00fcberlaufen kann?<\/h2>\n\n\n\n
\n
malloc()<\/code> oder \u00e4hnliche Funktionen verwenden, wird der Speicher aus diesem Heap zugewiesen. Ein Heap Overflow tritt auf, wenn mehr Daten in einen Speicherbereich geschrieben werden, als daf\u00fcr vorgesehen ist, was zu einer Besch\u00e4digung des Speichers f\u00fchren kann.<\/li>\n\n\n\nIst die in Definition 1 genannte Besch\u00e4digung physisch?<\/h2>\n\n\n\n
Gibt es ein Beispiel, wie ein Heap Overflow zu einer Sicherheitsl\u00fccke f\u00fchren kann?<\/h2>\n\n\n\n
malloc()<\/code>, um Speicher f\u00fcr Benutzereingaben zu reservieren, \u00fcberpr\u00fcft jedoch nicht, ob die Eingabe die Gr\u00f6\u00dfe des zugewiesenen Speichers \u00fcberschreitet. Ein Angreifer k\u00f6nnte dann eine \u00fcberm\u00e4\u00dfig gro\u00dfe Eingabe senden, die mehr Speicherplatz ben\u00f6tigt, als zugewiesen wurde. Dies f\u00fchrt dazu, dass benachbarte Speicherbereiche \u00fcberschrieben werden.<\/p>\n\n\n\nWie liegen diese Kontrollstrukturen im Speicher vor? <\/h2>\n\n\n\n
\n
malloc()<\/code> angefordert werden, befinden sich im Heap. Kontrollstrukturen selbst nutzen den Heap nicht direkt, aber die Daten, die sie verarbeiten, k\u00f6nnen dort gespeichert sein.<\/li>\n<\/ol>\n\n\n\nGibt es ein Beispiel, was eine Kontrollstruktur im Heap abspeichern k\u00f6nnte, was dazu f\u00fchrt dass sie manipuliert wird?<\/h2>\n\n\n\n
Wo lag der sch\u00e4dliche Code, auf den der Funktionszeiger umgeschrieben wurde?<\/h2>\n\n\n\n
\n
Kann man sich auf seinem Rechner den Heap anzeigen lassen?<\/h2>\n\n\n\n
\n
\ngdb .\/das_programm\n(gdb) run\n(gdb) info proc mappings\n(gdb) x\/20xw 0xheap_start_address\n\n<\/pre><\/div>\n\n\n
.\/das_programm<\/code> durch den Namen des Programms und 0xheap_start_address<\/code> durch die Startadresse des Heaps, die aus den Speicherzuordnungen kommt.<\/p>\n\n\n\nWie findet man eine Benutzereingabe, die zu einem Heap Overflow f\u00fchrt?<\/h2>\n\n\n\n
\n
malloc()<\/code>, calloc()<\/code>, realloc()<\/code>). Achte besonders auf Funktionen, die Benutzereingaben verarbeiten.<\/li>\n\n\n\n\n# Installiere AFL\nsudo apt-get install afl\n\n# Instrumentiere das Zielprogramm\nafl-gcc -o zielprogramm zielprogramm.c\n\n# F\u00fchre AFL aus\nafl-fuzz -i input_dir -o output_dir .\/zielprogramm\n<\/pre><\/div>\n\n\n
Gibt es ein Beispielcode in C oder C++, wie man einen Heap Overflow verursachen kann?<\/h2>\n\n\n\n
\n#include <stdio.h>\n#include <stdlib.h>\n#include <string.h>\n\nvoid vulnerable_function(const char *input) {\n \/\/ Allokiere einen Puffer von 10 Bytes auf dem Heap\n char *buffer = (char *)malloc(10 * sizeof(char));\n if (buffer == NULL) {\n fprintf(stderr, "Speicherzuweisung fehlgeschlagen\\n");\n exit(1);\n }\n\n \/\/ Kopiere die Eingabe in den Puffer ohne Gr\u00f6\u00dfen\u00fcberpr\u00fcfung\n strcpy(buffer, input);\n\n \/\/ Ausgabe des Puffers\n printf("Pufferinhalt: %s\\n", buffer);\n\n \/\/ Freigabe des Puffers\n free(buffer);\n}\n\nint main(int argc, char *argv[]) {\n if (argc < 2) {\n fprintf(stderr, "Verwendung: %s <Eingabe>\\n", argv[0]);\n return 1;\n }\n\n \/\/ Aufruf der anf\u00e4lligen Funktion mit Benutzereingabe\n vulnerable_function(argv[1]);\n\n return 0;\n}\n\n<\/pre><\/div>\n\n\nstrcpy<\/code> kopiert die Benutzereingabe in diesen Puffer, ohne die Gr\u00f6\u00dfe der Eingabe zu \u00fcberpr\u00fcfen. Wenn die Eingabe l\u00e4nger als 10 Bytes ist, wird der Puffer \u00fcberlaufen, was zu einem Heap Overflow f\u00fchrt.<\/p>\n\n\n\n\ngcc -o heap_overflow_example heap_overflow_example.c\n.\/heap_overflow_example "Dies ist eine sehr lange Eingabe, die den Puffer \u00fcberl\u00e4uft"\n<\/pre><\/div>\n\n\n
Kann dieses Programm auch Speicherbereiche anderer Programme \u00fcberschreiben und diese manipulieren?<\/h2>\n\n\n\n
\n