#Bypassing ARM's #MTE with a #Side-Channel Attack
در موضوع بهره برداری از آسیب پذیری های باینری، همواره یکی از چالش ها دور زدن مکانیزم های دفاعی است که بعضا در سطح سیستم عامل توسعه داده شده و مامور بر کاری است.
مکانیزمی با نام MTE است که یک مکانیزم دفاعی سخت افزاری در مقابله با آسیب پذیری های باینری بر پایه پردازنده های ARM است، این مکانیزم برای هر obj یک Key ایجاد میکند و اشاره گر (Pointer) را نمی گذارد منحرف شود.
ساختار Tag ها بصورت 64 بایت بوده که 4 بیت اولیه آن در سمت اشاره گر، یک مقدار تصادفی که در جریان اشاره اشاره گر به obj، این مقدار تصدیق و در صورت درست بودن اجازه دسترسی داده میشود.
روش دور زدن، Leak شدن MTE tag در یک آدرس دیگه بواسطه ظرفیت حملات Cache Side-Channel این امکان رو خواهد داد تا مهاجم از حافظه Cache که امکان دسترسی سریع پردازنده به داده را بدهد.
مهاجم بواسطه تعریف یک Gadget Store-to-Load امکان اینو پیدا میکنه که در زمان ذخیره یک بازه آدرس افست و در زمان بارگزاری اون امکان دسترسی به Tag Valid دست پیدا کرده و اون رو برای اشاره گر دارای آسیب پذیری استفاده نماید.
@Unk9vvN
در موضوع بهره برداری از آسیب پذیری های باینری، همواره یکی از چالش ها دور زدن مکانیزم های دفاعی است که بعضا در سطح سیستم عامل توسعه داده شده و مامور بر کاری است.
مکانیزمی با نام MTE است که یک مکانیزم دفاعی سخت افزاری در مقابله با آسیب پذیری های باینری بر پایه پردازنده های ARM است، این مکانیزم برای هر obj یک Key ایجاد میکند و اشاره گر (Pointer) را نمی گذارد منحرف شود.
ساختار Tag ها بصورت 64 بایت بوده که 4 بیت اولیه آن در سمت اشاره گر، یک مقدار تصادفی که در جریان اشاره اشاره گر به obj، این مقدار تصدیق و در صورت درست بودن اجازه دسترسی داده میشود.
روش دور زدن، Leak شدن MTE tag در یک آدرس دیگه بواسطه ظرفیت حملات Cache Side-Channel این امکان رو خواهد داد تا مهاجم از حافظه Cache که امکان دسترسی سریع پردازنده به داده را بدهد.
مهاجم بواسطه تعریف یک Gadget Store-to-Load امکان اینو پیدا میکنه که در زمان ذخیره یک بازه آدرس افست و در زمان بارگزاری اون امکان دسترسی به Tag Valid دست پیدا کرده و اون رو برای اشاره گر دارای آسیب پذیری استفاده نماید.
@Unk9vvN
#BeEF #Bypassing #CSP & #SOP
اسکریپتی در برگه تقلب آنون قرار گرفت که میتواند Header های امنیتی Same Origin Policy و Content Security Policy را در شرایط مورد نیاز دور زده و Agent مربوط به BeEF رو بصورت کاملا مبهم سازی شده بار گزاری کند.
این اسکریپت امکان گرفتن دسترسی کامل مرورگر قربانیان رو در صورت وجود یک آسیب پذیری XSS خواهد داد و حتی در صورت روشن بودن Header های امنیتی.
اما تکنیک های بکار گرفته شده، اول آماده سازی Metasploit و Auto Exp با نام
مورد دوم استفاده از Ngrok برای Listener کردن Agent مربوط به BeEF که با پیکربندی های انجام شده صورت گرفته و در جریان این پیکربندی ها چهار چوب Metasploit با BeEF هم یکپارچه و آماده میشود و Agent خود BeEF نیز مبهم سازی خواهد شد.
مورد بعد استفاده از نقاط انتهای JSONP در سایت های معروف و ایجاد پیلود بر بستر آنها که در صورت زنده بودن برای سایت آسیب پذیری استفاده و بهره برداری خواهد شد.
@Unk9vvN
اسکریپتی در برگه تقلب آنون قرار گرفت که میتواند Header های امنیتی Same Origin Policy و Content Security Policy را در شرایط مورد نیاز دور زده و Agent مربوط به BeEF رو بصورت کاملا مبهم سازی شده بار گزاری کند.
این اسکریپت امکان گرفتن دسترسی کامل مرورگر قربانیان رو در صورت وجود یک آسیب پذیری XSS خواهد داد و حتی در صورت روشن بودن Header های امنیتی.
اما تکنیک های بکار گرفته شده، اول آماده سازی Metasploit و Auto Exp با نام
browser_autopwn2 که بیش از 5 آسیب پذیری روز صفر مرورگر رو فعال میکنه و اگر قربانیان مرورگر قدیمی داشته باشند مستقیما امکان ایجاد دسترسی از سیستم عامل آنها خواهد بود.مورد دوم استفاده از Ngrok برای Listener کردن Agent مربوط به BeEF که با پیکربندی های انجام شده صورت گرفته و در جریان این پیکربندی ها چهار چوب Metasploit با BeEF هم یکپارچه و آماده میشود و Agent خود BeEF نیز مبهم سازی خواهد شد.
مورد بعد استفاده از نقاط انتهای JSONP در سایت های معروف و ایجاد پیلود بر بستر آنها که در صورت زنده بودن برای سایت آسیب پذیری استفاده و بهره برداری خواهد شد.
@Unk9vvN