Memory Tagging Extension (MTE)

AWS हैकिंग सीखें और प्रैक्टिस करें:HackTricks प्रशिक्षण AWS रेड टीम एक्सपर्ट (ARTE) GCP हैकिंग सीखें और प्रैक्टिस करें: HackTricks प्रशिक्षण GCP रेड टीम एक्सपर्ट (GRTE)

हैकट्रिक्स का समर्थन करें

सदस्यता योजनाएं की जाँच करें!
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @hacktricks_live** पर फॉलो** करें।
हैकिंग ट्रिक्स साझा करें, PRs सबमिट करके HackTricks और HackTricks Cloud github रेपो में।

मूल जानकारी

मेमोरी टैगिंग एक्सटेंशन (MTE) यह सॉफ़्टवेयर स्थिरता और सुरक्षा को बढ़ाने के लिए डिज़ाइन किया गया है जो मेमोरी संबंधित त्रुटियों की पहचान और रोकथाम करता है, जैसे कि बफर ओवरफ्लो और यूज-अफ्टर-फ्री सुरक्षासंबंधी विकल्प। MTE, ARM आर्किटेक्चर का हिस्सा होने के नाते, प्रत्येक मेमोरी आवंटन के लिए एक छोटे टैग को संलग्न करने और उस मेमोरी को संदर्भित करने वाले प्रत्येक पॉइंटर के लिए एक संबंधित टैग प्रदान करने की एक युक्ति प्रदान करता है। यह दृष्टिकोण अवैध मेमोरी पहुंच की पहचान की अनुमति देता है, जो इस प्रकार की विकल्पों को किसी भी अर्बिट्रे कोड को निष्पादित करने के लिए उत्पादित करने के जोखिम को कम करता है।

मेमोरी टैगिंग एक्सटेंशन कैसे काम करता है

MTE द्वारा मेमोरी को छोटे, निर्धारित आकार के ब्लॉक में विभाजित किया जाता है, जिसमें प्रत्येक ब्लॉक को एक टैग सौंपा जाता है, आम तौर पर कुछ बिट का आकार।

जब एक पॉइंटर उस मेमोरी को संदर्भित करने के लिए बनाया जाता है, तो उसे वही टैग मिलता है। यह टैग मेमोरी पॉइंटर के अनउपयोगित बिट्स में संग्रहीत होता है, प्रभावी रूप से पॉइंटर को उसके संबंधित मेमोरी ब्लॉक से जोड़ता है।

जब एक प्रोग्राम एक पॉइंटर के माध्यम से मेमोरी तक पहुंचता है, तो MTE हार्डवेयर यह जांचता है कि पॉइंटर का टैग मेमोरी ब्लॉक के टैग से मेल खाता है। यदि टैग मेल नहीं खाते हैं, तो यह एक अवैध मेमोरी पहुंच की सूचना देता है।

MTE पॉइंटर टैग

पॉइंटर के भीतर टैग 4 बिट में शीर्ष बाइट के अंदर संग्रहीत होते हैं:

इसलिए, इससे 16 विभिन्न टैग मान तक की अनुमति होती है।

MTE मेमोरी टैग

प्रत्येक 16B फिजिकल मेमोरी के लिए एक संबंधित मेमोरी टैग होता है।

मेमोरी टैग एक विशेषित रैम क्षेत्र में संग्रहीत होते हैं (सामान्य उपयोग के लिए पहुंच नहीं होती)। प्रत्येक 16B मेमोरी टैग के लिए 4 बिट टैग तक रैम का 3%।

ARM इन निर्देशों को पेश करता है जो इन टैगों को विशेषित रैम मेमोरी में संचालित करने के लिए:

STG [<Xn/SP>], #<simm>    Store Allocation (memory) Tag
LDG <Xt>, [<Xn/SP>]       Load Allocatoin (memory) Tag
IRG <Xd/SP>, <Xn/SP>      Insert Random [pointer] Tag
...

जाँच करने के मोड

सिंक

CPU निर्देश को क्रियान्वित करते समय टैग की जाँच करता है, अगर मिलान नहीं है, तो यह एक अपवाद उठाता है। यह सबसे धीमा और सबसे सुरक्षित है।

असिंक

CPU टैग की जाँच असिंक्रोनस रूप से करता है, और जब एक मिलान खोजा जाता है तो यह एक अपवाद बिट सेट करता है एक सिस्टम रजिस्टर में। यह पिछले से तेज है लेकिन यह स्पष्ट नहीं कर सकता कि वास्तविक निर्देश किसके कारण मिलान को उत्पन्न करता है और यह तुरंत अपवाद उठाता नहीं है, हमलावर को अपना हमला पूरा करने के लिए कुछ समय देता है।

मिश्रित

???

कार्यान्वयन और पता लगाने की उदाहरण

हार्डवेयर टैग-आधारित KASAN, MTE-आधारित KASAN या इन-कर्नेल MTE के रूप में कहा जाता है। कर्नेल आवंटक (जैसे kmalloc) इस मॉड्यूल को बुलाएगा जो उपयोग के लिए टैग तैयार करेगा (यादृच्छिक रूप से) और इसे कर्नेल स्पेस आवंटित करने और लौटाए गए पॉइंटर पर जोड़ने के लिए तैग तैयार करेगा।

ध्यान दें कि यह केवल पर्याप्त स्मृति ग्रेन्यूल (प्रत्येक 16B) को चिह्नित करेगा जितना अनुरोधित आकार था। इसलिए यदि अनुरोधित आकार 35 था और 60B का एक स्लैब दिया गया था, तो यह पहले 16*3 = 48B को इस टैग के साथ चिह्नित करेगा और शेष को एक ऐसे कहलाते हैं अमान्य टैग (0xE) के साथ चिह्नित करेगा।

टैग 0xF है सभी पॉइंटर का मिलान। इस पॉइंटर के साथ किसी भी टैग का उपयोग करने की अनुमति देता है इसकी स्मृति (कोई मिलान नहीं)। यदि इस टैग का उपयोग हो रहा है तो यह हमला डिटेक्ट करने से रोक सकता है।

इसलिए केवल 14 मूल्य हैं जो टैग उत्पन्न करने के लिए उपयोग किए जा सकते हैं क्योंकि 0xE और 0xF आरक्षित हैं, जिससे टैग को फिर से उपयोग करने की संभावना 1/17 -> लगभग 7% है।

यदि कर्नेल अमान्य टैग ग्रेन्यूल तक पहुंचता है, तो मिलान को डिटेक्ट किया जाएगा। यदि यह किसी अन्य स्मृति स्थान तक पहुंचता है, यदि स्मृति में एक विभिन्न टैग (या अमान्य टैग) है तो मिलान को डिटेक्ट किया जाएगा। यदि हमलावर को भाग्यशाली है और स्मृति में एक ही टैग का उपयोग हो रहा है, तो यह डिटेक्ट नहीं होगा। अवसर लगभग 7% हैं।

एक और बग उस स्मृति के अंतिम ग्रेन्यूल में होता है जो आवंटित स्मृति का है। यदि एप्लिकेशन ने 35B का अनुरोध किया था, तो 32 से 48 तक का ग्रेन्यूल दिया गया था। इसलिए, 36 से 47 तक के बाइट्स एक ही टैग का उपयोग कर रहे हैं लेकिन उन्हें अनुरोध नहीं किया गया था। यदि हमलावर इन अतिरिक्त बाइट्स तक पहुंचता है, तो यह डिटेक्ट नहीं होगा।

जब kfree() क्रियान्वित होता है, तो स्मृति को अमान्य स्मृति टैग के साथ फिर से टैग किया जाता है, इसलिए एक उपयोग-के-बाद-मुक्ति में, जब स्मृति को फिर से उपयोग किया जाता है, तो मिलान डिटेक्ट किया जाता है।

हालांकि, एक उपयोग-के-बाद-मुक्ति में, यदि वही चंक पुनः उपयोग किया जाता है जो पहले से है और उसी टैग के साथ, तो एक हमलावर इस उपयोग का उपयोग कर सकेगा और यह डिटेक्ट नहीं होगा (लगभग 7% की संभावना)।

इसके अतिरिक्त, केवल slab और page_alloc टैग की स्मृति का उपयोग करते हैं लेकिन भविष्य में इसका उपयोग vmalloc, stack और globals में भी किया जाएगा (वीडियो के समय ये अभी भी दुरुपयोग किए जा सकते हैं)।

जब एक मिलान डिटेक्ट किया जाता है, तो कर्नेल पैनिक करेगा ताकि आगे की शोषण और उपयोग के पुनः प्रयासों से बचा जा सके (MTE में कोई गलत सकारात्मक नहीं है)।

संदर्भ

https://www.youtube.com/watch?v=UwMt0e_dC_Q

PreviousLibc Protections NextNo-exec / NX

Last updated 1 month ago