Microsoft Nozzle pour réduire les faux positifs lors de la détection temps réel d'attaques par Heap Spraying

Par Xavier Poli, secuobs.com
Le 31/03/2009

---

Résumé : Nozzle est un projet Microsoft RiSE visant à permettre la réduction des taux de faux positifs lors de la détection temps réel d'attaques basées sur les techniques de Heap Spraying au niveau du Tas. - Lire l'article



Les attaques par Heap Spraying permettent d'augmenter l'exploitabilité des erreurs de corruption de mémoire existantes au sein d'applications présentant des insécurités de typage ( Type-Safe - lien ). Par ce biais, les attaquants améliorent les capacités de leur code à allouer des objets arbitraires dans le Tas ( lien ) lors de l'utilisation de langages Type-Safe comme le Javascript ( lien ). Le Heap Spraying facilite le contournement des protections basées sur la randomisation du Tas, ASLR par exemple ( lien ).

Elles avaient notamment été introduites par Saumil Shah avec sa présentation « Browser Exploits – A new model for Browser Security » ( lien ) effectuée lors de la conférence EuSecWest 08 ( lien ). Une forte recrudescence de cette technique, remplissant le Tas avec des objets contenant des codes malicieux, ayant été constatée ces dernières années via de nombreux cas réels d'exploitation et notamment ceux visant les navigateurs Web, dont la récente faille affectant Microsoft Internet Explorer ( MS09-002 - lien ).

Nozzle est un projet Microsoft RiSE ( lien ) pour une infrastructure de surveillance temps réel utilisant des techniques efficientes d'émulation afin d'identifier dans le Tas les objets contenant du code malicieux exécutable. Il propose une approche en deux niveaux avec un scan local des objets et une surveillance globale de métriques garantissant la bonne santé du Tas. Au niveau individuel, Nozzle effectue une interprétation, apparemment peu gourmande, des objets allouées, les considérant comme du code à part entière. L'émulateur scanne ensuite les données contenues dans les objets alloués dans le Tas afin d'identifier des séquences valides de code malicieux pouvant être exécutées par les processeurs x86 ( lien ).

Nozzle désassemble pour cela les codes afin de construire des graphiques de contrôle des flux lui permettant d'identifier les blocs susceptibles d'être atteints par les déplacements mémoire ( Offset - lien ) inclus dans l'objet. A noter que le processus utilisé par Nozzle pour la détection locale a des éléments communs avec les méthodes publiées pour la détection ( lien ) des shellcodes ( lien ) polymorphiques ( lien ) au niveau des paquets réseau. La densité des instructions x86 fait malheureusement que le contenu de nombreux objets peut être considéré comme du code malicieux exécutable, par conséquent un taux important de faux positifs ( lien ) est à déplorer.

C'est en ce sens que Nozzle s'appuie sur son système de métriques afin d'évaluer la santé globale du Tas, cela facilite la distinction entre les comportements du Tas lors d'allocations légitimes et lors d'attaques malicieuses. Contrairement à d'autres, les attaques par Heap Spraying se caractérisent par le fait qu'elles affectent le Tas de façon globale, cela est exploité par Nozzle afin de réduire de façon drastique les taux de faux positifs cités précédemment. Les codes dangereux sont ici identifiés en se basant sur les activités globales anormales dans le Tas qu'ils différencient des activités relatives aux flux légitimes d'exécution processeur habituellement constatés dans un environment sain.

Le site officiel ( lien )
Le papier technique ( lien )
La vidéo de présentation ( lien )
La présentation en audio ( lien )

Source : Channel9 ( lien )