¿Puedo usar la información del fallo del proceso para detectar ataques de desbordamiento de búfer?

0

Desbordamiento de búfer es una vulnerabilidad muy común, a menudo dirigida a ataques de día cero. Los ataques exitosos a menudo resultan en la ejecución de código arbitrario, mientras que los intentos fallidos tienden a bloquear el programa objetivo. ASLR hace que este escenario sea aún más común: en este ejemplo de ataque El servidor web Apache se bloquea repetidamente hasta que el atacante detecta la dirección de la función system() antes de que se explote. El ataque requiere un promedio de 32000 intentos.

Esto me hizo pensar: ¿por qué Apache permite ser atacado de una manera tan obvia? Me sorprendería que los servidores web configurados correctamente se bloqueen más de un par de veces por día en la producción, por lo que miles de bloqueos en cuestión de minutos son un fuerte indicador de que:

  • se está produciendo un ataque
  • en realidad está teniendo éxito, es decir, se produce un desbordamiento de búfer

En el caso de una explotación de día cero, prohibir la IP del atacante por un día o detener el servidor por completo después de 10 o más bloqueos proporcionaría tiempo suficiente para aplicar una solución y hacer una gran diferencia en la seguridad.

¿Hay alguna forma de aplicar una política de seguridad de este tipo para servicios populares como Apache, sshd y similares? ¿O hay servidores HTTP y SSH que tienen esta funcionalidad integrada?

    
pregunta Dmitry Grigoryev 02.03.2016 - 10:50
fuente

0 respuestas

Lea otras preguntas en las etiquetas