dongseok jang zachary tatlock sorin lerner uc san diego
play

Dongseok Jang Zachary Tatlock Sorin Lerner UC San - PowerPoint PPT Presentation

Mar 15, 2023 •348 likes •706 views

Dongseok Jang Zachary Tatlock Sorin Lerner UC San Diego University of UC San Diego Washington Vulnerable Control Flow Hijacking Lead Program to

  1. ¡ Dongseok ¡Jang ¡ Zachary ¡Tatlock ¡ Sorin ¡Lerner ¡ UC ¡San ¡Diego ¡ University ¡of ¡ UC ¡San ¡Diego ¡ Washington ¡

  2. Vulnerable ¡

  3. Control ¡Flow ¡Hijacking ¡ Lead ¡Program ¡to ¡Jump ¡to ¡Unexpected ¡Code ¡ That ¡does ¡what ¡a7acker ¡wants ¡ ¡ Example: ¡Stack ¡Buffer ¡Overflow ¡ALacks ¡ Well ¡studied ¡and ¡hard ¡to ¡be ¡cri=cal ¡by ¡itself ¡ ¡ ¡ New ¡FronNer ¡: ¡Vtable ¡Hijacking ¡

  4. Vtable ¡Pointers ¡ Mechanism ¡for ¡Virtual ¡FuncNons ¡ x ¡ class C { virtual int foo(); virtual int bar(); foo’s ¡impl ¡ vptr ¡ foo ¡ int fld; bar’s ¡impl ¡ fld ¡ bar ¡ }; ... C *x = new C(); vtable ¡ heap ¡obj ¡

  5. Vtable ¡Pointers ¡ Virtual ¡Call ¡: ¡2-­‑Step ¡Dereferencing ¡for ¡Callee ¡ x ¡ x->foo(); foo’s ¡impl ¡ vptr ¡ foo ¡ vptr = *((FPTR**)x); f = *(vptr + 0); bar’s ¡impl ¡ fld ¡ bar ¡ f(x); vtable ¡ heap ¡obj ¡

  6. Vtable ¡Hijacking ¡ Arbitrary ¡ Code ¡ x ¡ x->foo(); fake ¡vtable ¡ foo’s ¡impl ¡ bad ¡ foo ¡ vptr = *((FPTR**)x); f = *(vptr + 0); bar’s ¡impl ¡ fld ¡ bar ¡ f(x); vtable ¡ heap ¡obj ¡

  7. Vtable ¡Hijacking ¡via ¡Use-­‑aSer-­‑Free ¡ Use ¡Corrupted ¡Data ¡for ¡x’s ¡vptr x ¡ x ¡ C *x = new C(); x->foo(); corrupted ¡ C::vptr ¡ buf[0] ¡ delete x; // forget x = NULL; y ¡ buf[1] ¡ buf[1] ¡ x’s ¡fld ¡ ... D *y = new D(); y->buf[0] = input(); candidate ¡for ¡ ¡ ... realloca3on ¡ x->foo();

  8. Vtable ¡Hijacking: ¡Real ¡Case ¡ Vtable ¡Hijacking ¡of ¡Chrome ¡via ¡Use-­‑aSer-­‑Free ¡ Pinkie ¡Pie’s ¡demonstra=on ¡at ¡Pwn2Own ¡ Used ¡to ¡trigger ¡ROP ¡for ¡sandbox ¡escaping ¡of ¡Chrome ¡ Found ¡in ¡IE, ¡Firefox, ¡ Chrome

  9. ¡ How ¡to ¡Prevent ¡Vtable ¡Hijacking? ¡ ¡ ¡With ¡Accuracy ¡& ¡Low ¡Overhead? ¡

  10. Code ¡InstrumentaNon ¡ C *x = ... Check(x); x->foo();

  11. Code ¡InstrumentaNon ¡ C *x = ... ASSERT(VPTR(x) ∈ Valid(C)); x->foo(); Valid(C) ¡= ¡{ ¡vptr ¡of ¡C ¡or ¡C’s ¡subclasses ¡} ¡ Obtained ¡by ¡class ¡hierarchy ¡analysis ¡(CHA) ¡

  12. Code ¡InstrumentaNon ¡ C *x = ... ASSERT(VPTR(x) ∈ Valid(C)); x->foo(); Simple ¡ImplementaNon ¡Can ¡Be ¡Slow ¡ Involved ¡data ¡structure ¡lookup/func=on ¡calls ¡

  13. Inlining ¡OpNmizaNon ¡ C *x = ... ASSERT(VPTR(x) ∈ Valid(C)); x->foo() x->foo(); vptr = *((FPTR**)x); f = *(vptr + 0); f(x);

  14. Inlining ¡OpNmizaNon ¡ C *x = ... ASSERT(VPTR(x) ∈ Valid(C)); // vptr = *((FPTR**)x); ASSERT(vptr ∈ Valid(C)); f = *(vptr + 0); f(x);

  15. Inlining ¡OpNmizaNon ¡ C *x = ... ASSERT(VPTR(x) ∈ Valid(C)); // vptr = *((FPTR**)x); // ASSERT(vptr ∈ Valid(C)); ASSERT(vptr ∈ {C::vptr, D::vptr}); f = *(vptr + 0); f(x); Say ¡that ¡C ¡has ¡only ¡one ¡subclass ¡D ¡ à ¡SpecializaNon ¡of ¡Checks à

  16. Inlining ¡OpNmizaNon ¡ C *x = ... ASSERT(VPTR(x) ∈ Valid(C)); // vptr = *((FPTR**)x); // ASSERT(vptr ∈ Valid(C)); // ASSERT(vptr ∈ {C::vptr, D::vptr}); f = *(vptr + 0); f(x); SAFE:

  17. Inlining ¡OpNmizaNon ¡ C *x = ... ASSERT(VPTR(x) ∈ Valid(C)); // vptr = *((FPTR**)x); // ASSERT(vptr ∈ Valid(C)); // ASSERT(vptr ∈ {C::vptr, D::vptr}); if (vptr == C::vptr) goto SAFE; if (vptr == D::vptr) goto SAFE; exit(-1); SAFE: f = *(vptr + 0); f(x);

  18. Inlining ¡OpNmizaNon ¡ C *x = ... How ¡to ¡Order ¡Inlined ¡Checked? ¡ ASSERT(VPTR(x) ∈ Valid(C)); // vptr = *((FPTR**)x); à ¡Profile-­‑guided ¡Inlining ¡ à // ASSERT(vptr ∈ Valid(C)); // ASSERT(vptr ∈ {C::vptr, D::vptr}); if (vptr == C::vptr) goto SAFE; if (vptr == D::vptr) goto SAFE; exit(-1); SAFE: f = *(vptr + 0); f(x);

  19. Method ¡Pointer ¡Checking ¡ C *x = ... vptr = *((FPTR**)x); x->foo() ASSERT(vptr ∈ {C::vptr, D::vptr}); f = *(vptr + 0); f(x)

  20. Method ¡Pointer ¡Checking ¡ C *x = ... vptr = *((FPTR**)x); // ASSERT(vptr ∈ {C::vptr, D::vptr}); f = *(vptr + 0); ASSERT(f ∈ ValidM(C,foo)); f(x) Checking ¡Callee ¡Before ¡It ¡Is ¡Called ¡ Provides ¡same ¡security ¡as ¡vtable ¡checking ¡

  21. Method ¡Pointer ¡Checking ¡ C *x = ... vptr = *((FPTR**)x); // ASSERT(vptr ∈ {C::vptr, D::vptr}); f = *(vptr + 0); // ASSERT(f ∈ ValidM(C,foo)); ASSERT(f ∈ {C::foo}); f(x) Say ¡that ¡C ¡has ¡one ¡subclass ¡D ¡ Save ¡Checks ¡for ¡Shared ¡Methods ¡ and ¡D ¡doesn’t ¡override ¡C::foo() ¡

  22. Member ¡Pointers ¡in ¡C++ ¡ A *x = ... // m: index into a vtable // x->*m can be any methods of A (x->*m)() Say ¡that ¡A ¡has ¡1000 ¡methods ¡ à ¡Up ¡to ¡1000 ¡method ¡ptr ¡checks! ¡ à Vtable ¡Checking ¡Can ¡Be ¡Faster ¡

  23. Method ¡Pointer ¡Checking ¡ Fewer ¡Checks ¡for ¡Usual ¡Virtual ¡Calls ¡ ¡ More ¡Checks ¡for ¡Member ¡Pointer ¡Calls ¡

  24. Hybrid ¡Checking ¡ Method ¡Checking ¡for ¡Usual ¡Virtual ¡Calls ¡ ¡ Vtable ¡Checking ¡for ¡Member ¡Pointer ¡Calls ¡

  25. Tamper ¡Resistance ¡ Inserted ¡Checks ¡in ¡Read-­‑Only ¡Memory ¡ ¡ Checking ¡Data ¡in ¡Read-­‑Only ¡Memory ¡

  26. Performance: ¡Benchmark ¡ Chromium ¡Browser ¡ Realis=c ¡: ¡≈ ¡3 ¡millions ¡of ¡C++/C ¡LOC ¡ Popular ¡target ¡of ¡vtable ¡hijacking ¡ ¡ Running ¡On ¡JS, ¡HTML5 ¡Benchmark ¡

  27. Performance ¡ UnopNmized ¡(Avg: ¡23%) ¡ 35 ¡ RunNme ¡Overhead(%) ¡ 30 ¡ 25 ¡ 20 ¡ 15 ¡ 10 ¡ 5 ¡ 0 ¡ JS ¡ HTML ¡

  28. Performance ¡ Profile-­‑Guided ¡Inlining ¡(Avg: ¡6%) ¡ 35 ¡ 35 ¡ RunNme ¡Overhead(%) ¡ RunNme ¡Overhead(%) ¡ 30 ¡ 30 ¡ 25 ¡ 25 ¡ 20 ¡ 20 ¡ 15 ¡ 15 ¡ 10 ¡ 10 ¡ 5 ¡ 5 ¡ 0 ¡ 0 ¡ JS ¡ JS ¡ HTML ¡ HTML ¡

  29. Performance ¡ Inlined ¡Method ¡Ptr ¡Checking ¡(3%) ¡ 35 ¡ 35 ¡ 35 ¡ RunNme ¡Overhead(%) ¡ RunNme ¡Overhead(%) ¡ RunNme ¡Overhead(%) ¡ 30 ¡ 30 ¡ 30 ¡ 25 ¡ 25 ¡ 25 ¡ 20 ¡ 20 ¡ 20 ¡ 15 ¡ 15 ¡ 15 ¡ 10 ¡ 10 ¡ 10 ¡ 5 ¡ 5 ¡ 5 ¡ 0 ¡ 0 ¡ 0 ¡ JS ¡ JS ¡ JS ¡ HTML ¡ HTML ¡ HTML ¡

  30. Performance ¡ Hybrid ¡Checking ¡(Avg: ¡2%) ¡ 35 ¡ RunNme ¡Overhead(%) ¡ 30 ¡ 25 ¡ 20 ¡ 15 ¡ 10 ¡ 5 ¡ 0 ¡ JS ¡ HTML ¡

  31. Code ¡Size ¡Overhead ¡ 7% ¡Code ¡Size ¡Increase ¡ 8.3 ¡MB ¡out ¡of ¡119 ¡MB ¡ Checking ¡Data ¡+ ¡Inlined ¡Checks ¡

  32. Future ¡Work ¡ Separate ¡CompilaNon ¡ Link-­‑=me ¡CHA ¡/ ¡inlining ¡ ¡ Dynamic ¡Link ¡Library ¡ Run=me ¡update ¡of ¡checking ¡data ¡

  33. Summary ¡ Vtable ¡Hijacking ¡ O\en ¡happening ¡in ¡web ¡browsers ¡ Compiler-­‑based ¡Approach ¡ Code ¡Instrumenta=on ¡/ ¡sta=c ¡Analysis ¡ RealisNc ¡Overhead ¡ Careful ¡compiler ¡op=miza=ons ¡

  34. Thank ¡you! ¡ ¡ hLp://goto.ucsd.edu/safedispatch ¡

Recommend

Browsers: Critical Infrastructure Ubiquitous: many platforms, sensitive apps Vulnerable:

Browsers: Critical Infrastructure Ubiquitous: many platforms, sensitive apps Vulnerable:

Browser Security Guarantees through Formal Shim Verification Zachary Tatlock Dongseok Jang Sorin Lerner UC San Diego Browsers: Critical Infrastructure Ubiquitous: many platforms, sensitive apps Vulnerable: Pwn2Own, just a click to

862 views • 73 slides
Automating Formal Proofs for Reactive Systems Daniel Ricketts , Valentin Robert, Zachary

Automating Formal Proofs for Reactive Systems Daniel Ricketts , Valentin Robert, Zachary

Automating Formal Proofs for Reactive Systems Daniel Ricketts , Valentin Robert, Zachary Danger Tatlock Dongseok Jang, Sorin Lerner University of California, San Diego University of Washington Proof Assistant Based Verification Proof

1.93k views • 163 slides
Toward Standard Formats and Benchmark Suites for Floating Point Tools Zach Tatlock

Toward Standard Formats and Benchmark Suites for Floating Point Tools Zach Tatlock

Toward Standard Formats and Benchmark Suites for Floating Point Tools Zach Tatlock Collaborators Nasrine Damouche Pavel Panchekha Matthieu Martel Alex Sanchez-Stern Eva Darulova Chen Qiu Heiko Becker Sorin Lerner Debasmita Lohar Bill

408 views • 37 slides
Formal Verification of Cyber-Physical Systems Matthew Chan , Daniel Ricketts, Sorin Lerner,

Formal Verification of Cyber-Physical Systems Matthew Chan , Daniel Ricketts, Sorin Lerner,

Formal Verification of Cyber-Physical Systems Matthew Chan , Daniel Ricketts, Sorin Lerner, Gregory Malecha University of California, San Diego veridrone.ucsd.edu Cyber-Physical Systems Cyber-Physical Systems Cyber-Physical Systems

1.04k views • 90 slides
PL Techniques for 3D Printing Zachary Chandakana Anat Dan Tatlock Nandi Caspi Grossman

PL Techniques for 3D Printing Zachary Chandakana Anat Dan Tatlock Nandi Caspi Grossman

PL Techniques for 3D Printing Zachary Chandakana Anat Dan Tatlock Nandi Caspi Grossman Compilers generate our environment. Computerized Manufacturing CNC Computerized Manufacturing CNC Mold Making Robotic Assembly Computerized

824 views • 49 slides
Efficient CFI Enforcement for C++ Dynamic Dispatch Dimitar Bounov , Rami Kici, Sorin Lerner UCSD

Efficient CFI Enforcement for C++ Dynamic Dispatch Dimitar Bounov , Rami Kici, Sorin Lerner UCSD

Efficient CFI Enforcement for C++ Dynamic Dispatch Dimitar Bounov , Rami Kici, Sorin Lerner UCSD Why A:ack Dynamic Dispatch? Valuable targets (e.g. browsers) 11M LOC ~30M LOC 7M LOC ?M LOC C/C++ C/C++ C/C++ C/C++ Why A:ack Dynamic

922 views • 53 slides
to the max Jang F.M. Graat JANG Communication Amsterdam 2 whos talking ? Jang F.M.

to the max Jang F.M. Graat JANG Communication Amsterdam 2 whos talking ? Jang F.M.

1 minimalism to the max Jang F.M. Graat JANG Communication Amsterdam 2 whos talking ? Jang F.M. Graat Physics, Psychology, Philosophy 25+ years in Tech Comm Adobe Fm, Rh, Dw, Ps, Ai, ESTK, oXygen, Flare, etc.

559 views • 32 slides
O N S UBNORMAL F LOATING P OINT AND A BNORMAL T IMING Marc Andrysco, David Kohlbrenner, Keaton

O N S UBNORMAL F LOATING P OINT AND A BNORMAL T IMING Marc Andrysco, David Kohlbrenner, Keaton

O N S UBNORMAL F LOATING P OINT AND A BNORMAL T IMING Marc Andrysco, David Kohlbrenner, Keaton Mowery, Ranjit Jhala, Sorin Lerner, and Hovav Shacham UC San Diego 2 3 L ETS RUN SOME CODE Subnormal Floating Normal Floating Point Point 4 L ETS

651 views • 47 slides
How to sort anything Reuven M. Lerner Euro Python 2020 reuven@lerner.co.il @reuvenmlerner

How to sort anything Reuven M. Lerner Euro Python 2020 reuven@lerner.co.il @reuvenmlerner

How to sort anything Reuven M. Lerner Euro Python 2020 reuven@lerner.co.il @reuvenmlerner I teach Python Corporate training Video courses about Python + Git Weekly Python Exercise More info at https://lerner.co.il/

857 views • 50 slides
Certificate Authorities and SSL/TLS/HTTPS Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu

Certificate Authorities and SSL/TLS/HTTPS Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu

CSE 484 / CSE M 584: Computer Security and Privacy Certificate Authorities and SSL/TLS/HTTPS Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu Thanks to Franzi Roesner, Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John

622 views • 44 slides
Cryptography: Symmetric Encryption Fall 2016 Adam (Ada) Lerner lerner@cs.washington.edu Thanks

Cryptography: Symmetric Encryption Fall 2016 Adam (Ada) Lerner lerner@cs.washington.edu Thanks

CSE 484 / CSE M 584: Computer Security and Privacy Cryptography: Symmetric Encryption Fall 2016 Adam (Ada) Lerner lerner@cs.washington.edu Thanks to Franzi Roesner, Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John Manferdelli, John

633 views • 47 slides
Anonymity and Secure Messaging Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu Thanks to

Anonymity and Secure Messaging Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu Thanks to

CSE 484 / CSE M 584: Computer Security and Privacy Anonymity and Secure Messaging Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu Thanks to Franzi Roesner, Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John Manferdelli, John

699 views • 54 slides
Anonymity and Secure Messaging Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu Thanks to

Anonymity and Secure Messaging Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu Thanks to

CSE 484 / CSE M 584: Computer Security and Privacy Anonymity and Secure Messaging Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu Thanks to Franzi Roesner, Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John Manferdelli, John

779 views • 30 slides
Approachability Theory and Differential Games Sylvain Sorin UPMC-Paris 6 Ecole Polytechnique

Approachability Theory and Differential Games Sylvain Sorin UPMC-Paris 6 Ecole Polytechnique

Approachability Theory and Differential Games Sylvain Sorin UPMC-Paris 6 Ecole Polytechnique sorin@math.jussieu.fr Sixi` emes Journ ees Franco-Chiliennes dOptimisation 19-21 mai 2008 Universit e du Sud Toulon-Var Sylvain Sorin

1.4k views • 105 slides
Software Security: Miscellaneous Fall 2016 Adam (Ada) Lerner lerner@cs.washington.edu Thanks to

Software Security: Miscellaneous Fall 2016 Adam (Ada) Lerner lerner@cs.washington.edu Thanks to

CSE 484 / CSE M 584: Computer Security and Privacy Software Security: Miscellaneous Fall 2016 Adam (Ada) Lerner lerner@cs.washington.edu Thanks to Franzi Roesner, Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John Manferdelli, John

1.29k views • 42 slides
Mobile Platform Security (finish) Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu Thanks

Mobile Platform Security (finish) Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu Thanks

CSE 484 / CSE M 584: Computer Security and Privacy Mobile Platform Security (finish) Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu Thanks to Franzi Roesner, Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John Manferdelli, John

807 views • 78 slides
Software Security: Buffer Overflow Attacks Fall 2016 Adam (Ada) Lerner lerner@cs.washington.edu

Software Security: Buffer Overflow Attacks Fall 2016 Adam (Ada) Lerner lerner@cs.washington.edu

CSE 484 / CSE M 584: Computer Security and Privacy Software Security: Buffer Overflow Attacks Fall 2016 Adam (Ada) Lerner lerner@cs.washington.edu Thanks to Franzi Roesner, Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John

559 views • 41 slides
Outline Specific Issues Related to Embedded Processor Architectures General approach Sorin

Outline Specific Issues Related to Embedded Processor Architectures General approach Sorin

Sorin Manolache Sorin Manolache Outline Specific Issues Related to Embedded Processor Architectures General approach Sorin Manolache SIMD example sorma@ida.liu.se VLIW example 1 2 November 7, 2001 November 7, 2001 Sorin

68 views • 6 slides
uf: Minimizing the Coq Extraction TCB Eric Mullen , Stuart Pernsteiner, James Wilcox, Zachary

uf: Minimizing the Coq Extraction TCB Eric Mullen , Stuart Pernsteiner, James Wilcox, Zachary

uf: Minimizing the Coq Extraction TCB Eric Mullen , Stuart Pernsteiner, James Wilcox, Zachary Tatlock, Dan Grossman 1 Extraction 2 Extraction K coq 2 Extraction K coq 2 Extraction K coq Extraction 2 Extraction K coq Extraction K

1.3k views • 106 slides
CSE 484 / CSE M 584: Computer Security and Privacy Fall2016 Adam (Ada) Lerner

CSE 484 / CSE M 584: Computer Security and Privacy Fall2016 Adam (Ada) Lerner

CSE 484 / CSE M 584: Computer Security and Privacy Fall2016 Adam (Ada) Lerner lerner@cs.washington.edu Thanks to Franzi Roesner, Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John Manferdelli, John Mitchell, Vitaly Shmatikov, Bennet

654 views • 51 slides
The End of Software Security (and some Cryptography) Spring 2016 Ada (Adam) Lerner

The End of Software Security (and some Cryptography) Spring 2016 Ada (Adam) Lerner

CSE 484 / CSE M 584: Computer Security and Privacy The End of Software Security (and some Cryptography) Spring 2016 Ada (Adam) Lerner lerner@cs.washington.edu Thanks to Franzi Roesner, Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John

870 views • 76 slides
Crypto meets Web Security: Certificates and SSL/TLS Fall 2016 Ada (Adam) Lerner

Crypto meets Web Security: Certificates and SSL/TLS Fall 2016 Ada (Adam) Lerner

CSE 484 / CSE M 584: Computer Security and Privacy Crypto meets Web Security: Certificates and SSL/TLS Fall 2016 Ada (Adam) Lerner lerner@cs.washington.edu Thanks to Franzi Roesner, Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John

917 views • 55 slides
Case-Based Discussion: Non-Muscle Invasive Bladder Cancer Se Seth P. . Lerner MD; Gu Gui Go

Case-Based Discussion: Non-Muscle Invasive Bladder Cancer Se Seth P. . Lerner MD; Gu Gui Go

Case-Based Discussion: Non-Muscle Invasive Bladder Cancer Se Seth P. . Lerner MD; Gu Gui Go Godoy MD, , MPH; Jennifer Taylor MD, , MPH Urologic Oncology 13 September 2019 Disclosures S. Lerner Clinical trials: Endo, FKD, JBL (SWOG),

499 views • 49 slides
Explanatory Fictions and Fictional Explanations Sorin Bangu Univ. of Bergen

Explanatory Fictions and Fictional Explanations Sorin Bangu Univ. of Bergen

Explanatory Fictions and Fictional Explanations Sorin Bangu Univ. of Bergen Sorin.Bangu@fof.uib.no Can fictions explain? - question of perennial interest one of the main and most controversial roles that fictional assumptions may play

841 views • 49 slides

More recommend