ISGroup Conseil en Cybersécurité

Stack Mashing

Le “stack mashing” (écrasement de la pile) est une technique d’attaque informatique qui exploite une vulnérabilité connue sous le nom de dépassement de tampon (buffer overflow) pour amener un ordinateur à exécuter du code arbitraire. Ce type d’attaque permet à un attaquant de prendre le contrôle d’un système en injectant et en faisant exécuter du code malveillant.

Comment cela fonctionne

Dans un scénario typique de stack mashing, l’attaquant exploite un dépassement de tampon, c’est-à-dire une condition dans laquelle un programme écrit des données au-delà des limites d’un tampon, écrasant ainsi les données adjacentes en mémoire. Plus précisément, l’attaquant vise à écraser l’adresse de retour (return address) du cadre de pile (stack frame) actuel.

  1. Dépassement de tampon (Buffer Overflow) : Un programme dispose d’un tampon de taille limitée pour stocker des données temporaires. Si des données dépassant cette taille sont saisies, les données excédentaires peuvent écraser d’autres portions de la mémoire.
  2. Écrasement de la pile : En utilisant le dépassement de tampon, l’attaquant écrase l’adresse de retour dans la pile. Cette adresse de retour indique au programme où poursuivre l’exécution après la fin d’une fonction.
  3. Exécution de code arbitraire : En manipulant l’adresse de retour, l’attaquant peut forcer le programme à sauter vers l’exécution d’un code arbitraire préalablement injecté dans le tampon. Ce code malveillant peut exécuter n’importe quelle commande souhaitée par l’attaquant, compromettant ainsi la sécurité du système.

Exemple pratique

Imaginez un programme qui possède un tampon pour stocker l’entrée de l’utilisateur :

cCopy codevoid function(char *str) {
    char buffer[16];
    strcpy(buffer, str);
}

Si un utilisateur malveillant fournit une entrée de plus de 16 caractères, les données excédentaires écraseront la mémoire suivante. L’attaquant peut manipuler ces données pour écraser l’adresse de retour de la pile et forcer le programme à exécuter du code arbitraire.

Prévention

Pour se protéger contre les attaques de type stack mashing, il est essentiel d’adopter des mesures de sécurité telles que :

  • Utiliser des fonctions sécurisées : Privilégier les fonctions qui limitent la taille des données copiées, comme strncpy au lieu de strcpy.
  • Protection de la pile : Implémenter des techniques de protection comme les “Stack Canaries”, qui insèrent des valeurs de contrôle dans la pile, lesquelles sont vérifiées avant de rendre le contrôle au programme.
  • Randomisation de l’espace d’adressage (ASLR – Address Space Layout Randomization) : Cette technique rend la disposition de la mémoire du programme moins prévisible, ce qui rend plus difficile pour les attaquants l’exploitation des vulnérabilités de dépassement de tampon.
  • Utilisation de compilateurs sécurisés : Les compilateurs modernes incluent souvent des options de sécurité capables de prévenir les dépassements de tampon.

Le stack mashing est un exemple classique de vulnérabilité qui, si elle n’est pas atténuée, peut entraîner de graves compromissions de la sécurité du système. Comprendre cette technique et adopter des mesures préventives appropriées est essentiel pour maintenir la sécurité des systèmes informatiques.

In

Leave a Reply

Your email address will not be published. Required fields are marked *