BlueHat Asia 2025: Исправление ошибок без самого исправления: Безопасность во время выполнения с ...

Описание: В этом докладе инженер по безопасности Вертика Шарма представляет Shimit — исследовательский проект, посвященный смягчению последствий отдельных уязвимостей Linux во время выполнения с использованием методов на основе заглушек.

В презентации рассматривается постоянная проблема в области безопасности: разрыв между раскрытием уязвимости и развертыванием патчей. Даже когда патчи выпускаются оперативно, реальные ограничения — такие как устаревшие системы или задержки развертывания — могут оставлять системы уязвимыми. Используя взлом Equifax в 2017 году в качестве показательного примера, Вертика подчеркивает, почему временные меры часто необходимы для снижения риска в этот период уязвимости.

Shimit решает эту проблему, перехватывая вызовы уязвимых библиотечных функций во время выполнения, перенаправляя выполнение через код заглушки, а не изменяя или перекомпилируя существующие приложения. Используя механизмы Linux, такие как перегрузка символов, LD_PRELOAD и dlsym, этот подход обеспечивает точный и неинтрузивный способ мониторинга, блокировки или условного разрешения уязвимого поведения.

В докладе рассматриваются следующие темы:
➤ Обзор методов защиты на основе shim и принципов их работы
➤ Практические объяснения LD_PRELOAD и динамического разрешения символов
➤ Простая демонстрация перехвата функций
➤ Реальный пример защиты от уязвимости переполнения буфера в iconv
➤ Обсуждение ограничений, включая статическую компоновку и встроенные функции

Shimit представлен как подход, позволяющий использовать собственные средства защиты, полезный для снижения рисков в ожидании полного развертывания патчей, особенно для широко используемых разделяемых библиотек.