Microsoft аннонсировала $250,000 за наиболее "эксплойто-подавляющую" технику.
Уже известны три финалиста, которые акцентировали свое внимание на anti-rop технологии, придуманными ими же.
Первый из них, Jared DeMott, придумал технику, названную им "/ROP", которая проверяет целевой адрес каждой return инструкции и затем сравнивает её с легитимным списком.
Второй исследователь Ivan Fratric, придумал похожую технику, названную им как "ROPGuard", он решил проверять каждый критический вызов ф-ции, чтобы определить легитимен ли он. Атакующий должен будет вызывать так или иначе эти ф-ции из rop кода, что делает их идеальным местом для проверки.
Третий исследователь Vasilis Pappas, назвал свою задумку "kBouncer". Когда идет выполнение rop кода, control-flow выглядит необычно и атаку можно легко обнаружить. kBouncer основывается на фиче мониторинга производительности, которая существует в новейших Intel процессорах(Last Branch Recording).
Все три фичи заявляются ресерчерами как минимально воздействующими на производительность, а также легко реализуемыми.
Микрософт врятли будет выкидывать деньги просто так, поэтому логично предположить, что одна из предложенных технологий (или все три?) в каком то виде будут реализованы либо в windows 8, либо в next service pack windows 7.
Поживем-увидим.
Уже известны три финалиста, которые акцентировали свое внимание на anti-rop технологии, придуманными ими же.
Первый из них, Jared DeMott, придумал технику, названную им "/ROP", которая проверяет целевой адрес каждой return инструкции и затем сравнивает её с легитимным списком.
Второй исследователь Ivan Fratric, придумал похожую технику, названную им как "ROPGuard", он решил проверять каждый критический вызов ф-ции, чтобы определить легитимен ли он. Атакующий должен будет вызывать так или иначе эти ф-ции из rop кода, что делает их идеальным местом для проверки.
Третий исследователь Vasilis Pappas, назвал свою задумку "kBouncer". Когда идет выполнение rop кода, control-flow выглядит необычно и атаку можно легко обнаружить. kBouncer основывается на фиче мониторинга производительности, которая существует в новейших Intel процессорах(Last Branch Recording).
Все три фичи заявляются ресерчерами как минимально воздействующими на производительность, а также легко реализуемыми.
Микрософт врятли будет выкидывать деньги просто так, поэтому логично предположить, что одна из предложенных технологий (или все три?) в каком то виде будут реализованы либо в windows 8, либо в next service pack windows 7.
Поживем-увидим.
Уже что то даже реализовано в новом EMET v3.5 Tech Preview
ОтветитьУдалитьhttp://blogs.technet.com/b/srd/archive/2012/07/24/emet-3-5-tech-preview-leverages-security-mitigations-from-the-bluehat-prize.aspx
Угу, в нем ROPGuard реализован
ОтветитьУдалитьих кстати уже запавнили :)
ОтветитьУдалитьhttps://repret.wordpress.com/2012/08/08/bypassing-emet-3-5s-rop-mitigations/