exploi ng memory corrup on vulnerabili es in the java run
play

Exploi:ng Memory Corrup:on Vulnerabili:es in the Java Run:me - PowerPoint PPT Presentation

Aug 22, 2023 •274 likes •747 views

Exploi:ng Memory Corrup:on Vulnerabili:es in the Java Run:me Joshua J. Drake December 15 th 2011 Please complete the Speaker Feedback Surveys! This will

  1. Exploi:ng ¡Memory ¡Corrup:on ¡ Vulnerabili:es ¡in ¡the ¡Java ¡Run:me ¡ Joshua ¡J. ¡Drake ¡ December ¡15 th ¡2011 ¡ Please ¡complete ¡the ¡Speaker ¡Feedback ¡Surveys! ¡ This ¡will ¡both ¡help ¡speakers ¡improve ¡and ¡help ¡Black ¡Hat ¡make ¡beHer ¡decisions ¡regarding ¡content ¡and ¡presenters ¡for ¡future ¡ events. ¡

  2. About ¡the ¡Presenter ¡ • Joshua ¡J. ¡Drake, ¡aka ¡jduck ¡ – Senior ¡Research ¡Consultant ¡with ¡Accuvant ¡LABS ¡ • Vulnerability ¡Discovery ¡& ¡Exploita:on ¡ • Binary/Source ¡Audit, ¡Reverse ¡Engineering ¡ ¡ ¡ ¡ ¡ ¡ – ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Contributor ¡ • Formerly ¡Lead ¡Exploit ¡Developer ¡

  3. Overview ¡ • Background ¡ • Hurdles ¡ • Exploi:ng ¡ • Demos ¡ • Conclusion ¡

  4. Mo:va:on ¡ • …share ¡informa:on ¡and ¡techniques ¡to ¡make ¡ Java ¡Run:me ¡Environment ¡(JRE) ¡exploita:on ¡ easier. ¡ – JRE ¡architecture ¡informa:on ¡ – Various ¡hurdles ¡encountered ¡during ¡dev ¡ • i.e. ¡CVE-­‑2009-­‑3867, ¡CVE-­‑2009-­‑3869 ¡ – Provide ¡tools ¡for ¡future ¡work ¡

  5. Background ¡ • Why ¡Java? ¡ • Popular? ¡ • Maybe ¡a ¡‘lil. ¡ More ¡claims ¡here: ¡ hHp://www.java.com/en/about/ ¡

  6. Background ¡ • Java ¡is ¡cross-­‑plaborm! ¡

  7. Background ¡ • Java ¡SE ¡6 ¡focus ¡ – Tested ¡latest ¡(6u29) ¡ – JRE ¡7 ¡GA ¡is ¡released! ¡ • Buggy… ¡ • Slow ¡adop:on… ¡ • One ¡update ¡already ¡

  8. Background ¡-­‑ ¡Security ¡ • 27 ¡updates ¡over ¡about ¡5 ¡years ¡ • Well ¡over ¡100 ¡CVEs ¡ • Targeted ¡in ¡73% ¡of ¡exploit ¡kits ¡ • 10 ¡exploits ¡in ¡ – 4 ¡Windows ¡specific ¡ – 1 ¡meatware ¡aHack ¡(java_signed_applet) ¡ – 3 ¡involve ¡memory ¡corrup:on ¡

  9. Background ¡ • What ¡does ¡the ¡“JRE” ¡include? ¡ JRE ¡ hHp://java.sun.com/products/hotspot/whitepaper.html ¡-­‑ ¡Recommended ¡Reading ¡

  10. Background ¡ • Java ¡has ¡a ¡plen:ful ¡aHack ¡surface! ¡ – Browser ¡Plug-­‑in ¡ • Automa:cally ¡installed ¡ • Applets ¡ – 70% ¡of ¡Metasploit ¡Java ¡exploits ¡use ¡Applets ¡ • “LiveConnect” ¡Java/Browser ¡interface ¡ – Java ¡Web ¡Start ¡& ¡JNLP ¡ – More ¡

  11. Background ¡-­‑ ¡Applets ¡ • AHackers ¡use ¡applets ¡because… ¡ – Applet ¡Java ¡code ¡and ¡JAR ¡contents ¡are ¡100% ¡ aHacker ¡controlled ¡ – Tons ¡of ¡na:ve ¡library ¡code ¡is ¡reachable ¡ • Images, ¡Sounds, ¡Compressors ¡and ¡more ¡ • Includes ¡embedded ¡copies ¡of ¡open ¡source ¡(zlib, ¡etc) ¡ Trusted ¡ Untrusted ¡ Signed ¡ Unsigned ¡ Runs ¡with ¡full ¡user ¡privileges ¡ Subject ¡to ¡Java ¡“sandbox” ¡ User ¡is ¡Prompted ¡ No ¡promp:ng ¡

  12. Background ¡-­‑ ¡Technical ¡ • Java ¡Virtual ¡Machine ¡(JVM) ¡ – Named ¡“HotSpot” ¡ – WriHen ¡in ¡na:ve ¡code ¡ – Processes ¡Java ¡Bytecode ¡ – Might ¡just-­‑in-­‑:me ¡compile ¡ – Executes ¡or ¡Interprets ¡ resul:ng ¡code ¡

  13. Background ¡– ¡Security ¡ • Process ¡Architecture ¡ – Plug-­‑in ¡loads ¡in ¡Browser ¡address ¡space ¡ • Includes ¡several ¡libraries ¡ – Since ¡Update ¡10 ¡ • Java.exe ¡runs ¡as ¡an ¡external ¡process ¡ ¡ • Can ¡Pass ¡op:ons ¡to ¡Java.exe ¡via ¡HTML ¡ – S:ll ¡no ¡DEP ¡ – S:ll ¡no ¡ASLR ¡

  14. Background ¡– ¡Security ¡ • All ¡JRE ¡6 ¡releases ¡ship ¡same ¡msvcr71.dll ¡ – v7.10.3052.4 ¡ • md5 ¡86f1895ae8c5e8b17d99ece768a70732 ¡ • Loads ¡in ¡all ¡components! ¡ – Browser ¡itself ¡ – Java.exe ¡for ¡applets ¡ • Public ¡ROP ¡chains ¡target ¡this ¡DLL ¡

  15. Background ¡-­‑ ¡Technical ¡ • Two ¡major ¡kinds ¡of ¡heaps ¡ – Java ¡Object ¡heap ¡(more ¡in ¡a ¡sec) ¡ – Na:ve ¡heap ¡(from ¡msvcr71.dll) ¡ • Just ¡a ¡wrapper ¡around ¡HeapAlloc ¡ – OS-­‑specific ¡allocator ¡security ¡proper:es ¡apply ¡ » ASLR ¡ » Safe-­‑unlinking ¡ Someone ¡had ¡fun! ¡ » Meta-­‑data ¡valida:on ¡ » etc ¡

  16. Background ¡-­‑ ¡Technical ¡ • Java ¡Object ¡heap ¡ – Garbage ¡Collected ¡ – Allocated ¡via ¡VirtualAlloc ¡ – Was ¡Read/Write/Execute ¡un:l ¡update ¡18 ¡!! ¡ – Predictable ¡address ¡ • Between ¡0x22000000 ¡and ¡0x26000000 ¡ • Due ¡to ¡“Class ¡Data ¡Sharing” ¡?? ¡

  17. Hurdles ¡

  18. Hurdles ¡-­‑ ¡I ¡ • Debugging ¡JVM ¡started ¡from ¡browser ¡ • Process ¡terminates ¡out ¡from ¡under ¡you! ¡ – Surprise! ¡ • Why ¡does ¡this ¡happen? ¡ Con:nue ¡aper ¡a ¡while ¡ Single ¡step ¡excep:on?! ¡ Oh ¡no! ¡Process ¡DIED! ¡

  19. Hurdles ¡-­‑ ¡Watchdog ¡ • Java ¡Plugin ¡Watchdog ¡ – Watches ¡over ¡external ¡jp2launcher.exe ¡process ¡ Java_java_lang_ProcessImpl_destroy ¡ (inside ¡java.dll) ¡ TerminateProcess ¡

  20. Hurdles ¡-­‑ ¡Watchdog ¡ • Prevent ¡the ¡watchdog ¡from ¡interfering! ¡ 1. Patch ¡up ¡the ¡“java.dll” ¡binary ¡ – NOP ¡out ¡the ¡TerminateProcess ¡call ¡ – Or ¡just ¡change ¡JNZ ¡-­‑> ¡JMP ¡ 2. Use ¡breakpoints, ¡run:me ¡patching, ¡etc ¡ – Must ¡be ¡done ¡each ¡execu:on ¡ L ¡

  21. Hurdles ¡-­‑ ¡Watchdog ¡

  22. Hurdles ¡– ¡Random ¡AVs ¡ • Spurious ¡access ¡viola:ons ¡while ¡debugging ¡ • Not ¡sure ¡why… ¡Let’s ¡speculate. ¡ – Expected ¡AV ¡in ¡JIT’d ¡code? ¡ – Crap ¡code ¡wrapped ¡in ¡catch-­‑all ¡handler? ¡ – If ¡you ¡know ¡or ¡have ¡another ¡idea, ¡speak ¡up! ¡ • Just ¡pass ¡and ¡pretend ¡its ¡not ¡happening ¡;-­‑P ¡

  23. Hurdles ¡-­‑ ¡Encoding ¡ • Java ¡uses ¡UTF-­‑8 ¡for ¡all ¡strings ¡ – Invalid ¡sequences ¡replaced ¡with ¡‘?’ ¡ • Check ¡this ¡out: ¡(from ¡@mihi42) ¡

  24. Hurdles ¡-­‑ ¡Encoding ¡ • Compile ¡and ¡run ¡it… ¡ • But ¡it ¡was ¡all ¡comments?! ¡ • Java ¡pre-­‑processes ¡those ¡UTF ¡escapes! ¡

  25. Hurdles ¡-­‑ ¡Encoding ¡ • Don’t ¡use ¡strings! ¡Use ¡arrays ¡ – Their ¡values ¡are ¡represented ¡in ¡memory ¡ con:guously ¡ • BeHer, ¡but ¡there’s ¡s:ll ¡an ¡issue… ¡

  26. Hurdles ¡– ¡Integers ¡ • In ¡Java, ¡all ¡integers ¡are ¡signed! ¡ • Use ¡next ¡larger ¡type ¡ – For ¡0xff ¡byte, ¡use ¡short ¡integer ¡ – For ¡0xffff ¡short, ¡use ¡long ¡integer ¡ – etc ¡

  27. Hurdles ¡-­‑ ¡Reachability ¡ • Code ¡that ¡seems ¡unreachable ¡at ¡first ¡ – Was ¡the ¡case ¡in ¡CVE-­‑2009-­‑3869 ¡ • You ¡can ¡reach ¡more ¡by ¡using ¡Java ¡tricks ¡ – Sub-­‑classing ¡ – Reflec:on ¡ – Abusing ¡complex ¡interfaces ¡ • i.e. ¡A ¡class ¡that ¡takes ¡an ¡instance ¡as ¡a ¡parameter ¡

  28. Exploi:ng ¡ (yay) ¡

  29. Exploi:ng: ¡Setup ¡ • Used ¡a ¡custom ¡JNI ¡(vuln_jni.dll) ¡for ¡tes:ng ¡ – Covers ¡several ¡common ¡exploit ¡primi:ves ¡

  30. Exploi:ng: ¡Arbitrary ¡Call ¡ • Fun ¡and ¡simple.. ¡ – Just ¡need ¡somewhere ¡to ¡jump! ¡ – Good ¡thing ¡JRE ¡6 ¡doesn’t ¡support ¡ASLR! ¡ • Public ¡ROPs ¡work ¡great ¡ – Nor ¡does ¡it ¡support ¡DEP! ¡ • Let’s ¡jump ¡into ¡a ¡DLL ¡.data ¡sec:on! ¡

  31. Exploi:ng: ¡Write4 ¡ • Surgical! ¡ – Need ¡to ¡target ¡something ¡used ¡for ¡control ¡flow ¡ • Must ¡know ¡it’s ¡address ¡(within ¡margin ¡of ¡error) ¡ • A ¡plethora ¡of ¡stuff ¡to ¡surgically ¡overwrite ¡ – Again, ¡lack ¡of ¡ASLR ¡/ ¡DEP ¡FTW ¡

  32. Vuln.sprinb ¡ • Here’s ¡the ¡code: ¡ • Two ¡issues ¡in ¡this ¡func:on ¡ – CWE-­‑121: ¡Stack ¡Buffer ¡Overflow ¡ – CWE-­‑134: ¡Uncontrolled ¡Format ¡String ¡

Recommend

Exploi'ng Unpatched iOS Vulnerabili'es for Fun and Profit

Exploi'ng Unpatched iOS Vulnerabili'es for Fun and Profit

Exploi'ng Unpatched iOS Vulnerabili'es for Fun and Profit Yeongjin Jang, Tielei Wang, Byoungyoung Lee, and Billy Lau Georgia Tech Informa;on Security Center

989 views • 84 slides
Multi-core in JVM/Java Concurrent programming in java Prior Java 5 Java 5 (2006)

Multi-core in JVM/Java Concurrent programming in java Prior Java 5 Java 5 (2006)

Multi-core in JVM/Java Concurrent programming in java Prior Java 5 Java 5 (2006) Java 7 (2010) Other topics Basic concurrency in Java Java Memory Model describes how threads interact through memory Single thread

812 views • 34 slides
e Java Memory Model . Jesper qvist . . . e Java Environment . . . 2 . . e Java

e Java Memory Model . Jesper qvist . . . e Java Environment . . . 2 . . e Java

. e Java Memory Model . Jesper qvist . . . e Java Environment . . . 2 . . e Java Environment . . . 3 . . Java Execution . Possible reordering due to Compiler, JVM, or CPU! Plus visibility problems due to CPU caches! .

473 views • 21 slides
Search for the Memory Duplicities in the Java Applications Using Shallow and Deep Object

Search for the Memory Duplicities in the Java Applications Using Shallow and Deep Object

Reliable Software Architectures research group Search for the Memory Duplicities in the Java Applications Using Shallow and Deep Object Comparison RICHARD LIPKA, TOM POTUK FedCSIS 2019, 2. SEPTEMBER Memory issues in Java Memory leaks

565 views • 18 slides
The Java Memory Model Jaroslav Sev c k University of Edinburgh Supported by ITI

The Java Memory Model Jaroslav Sev c k University of Edinburgh Supported by ITI

The Java Memory Model Jaroslav Sev c k University of Edinburgh Supported by ITI Techmedia The Java Memory Model p. 1/30 Overview Part I : Motivation for weak memory models: Compromise between standard optimisations and

813 views • 46 slides
Exploi'ng Leakage in Searchable Encryp'on and Machine

Exploi'ng Leakage in Searchable Encryp'on and Machine

Exploi'ng Leakage in Searchable Encryp'on and Machine Learning Tom Ristenpart Covering joint work with : David Cash, Paul Grubbs, Jason Perry

875 views • 56 slides
Sta$cDetec$onofSecurity Vulnerabili$esinScrip$ngLanguages

Sta$cDetec$onofSecurity Vulnerabili$esinScrip$ngLanguages

Sta$cDetec$onofSecurity Vulnerabili$esinScrip$ngLanguages ResearchbyYichenXie,AlexAikenof StanfordUniversity PresentedbyAdamBergstein Outline Background PHP

459 views • 41 slides
Interna'onal Prosecu'on of Grand Corrup'on Akaash Maharaj GOPAC

Interna'onal Prosecu'on of Grand Corrup'on Akaash Maharaj GOPAC

Interna'onal Prosecu'on of Grand Corrup'on Akaash Maharaj GOPAC Chief Execu've Officer UNCAC IRG Special Measures Panel 04 June 2015 About GOPAC

615 views • 15 slides
JAVA Java vs. Java Java Language Specification

JAVA Java vs. Java Java Language Specification

BR 10/05 JAVA Java vs. Java Java Language Specification http://java.sun.com/docs/books/jls/second_edition/html/j.title.doc.html Java programming language is compiled into java byte code Java Virtual Machine Specification

1.07k views • 44 slides
Java for OOP Objects de-mystified Christoph Angerer Java Virtual Machine VM Heap Program

Java for OOP Objects de-mystified Christoph Angerer Java Virtual Machine VM Heap Program

Java for OOP Objects de-mystified Christoph Angerer Java Virtual Machine VM Heap Program Memory (Program Code (Classes, JIT Memory) etc.) Reads Internal use Virtual Machine Slide 2 Runtime Model public class BankAccount {

307 views • 30 slides
A Bit of Algebra Massive Amounts of In-memory Key/Value Storage + In-Memory Search + Java == NoSQL

A Bit of Algebra Massive Amounts of In-memory Key/Value Storage + In-Memory Search + Java == NoSQL

A Bit of Algebra Massive Amounts of In-memory Key/Value Storage + In-Memory Search + Java == NoSQL Killer? A bit of Algebra Massive Amounts of In-memory Key/Value Storage + In-Memory Search + Java == NoSQL Killer? Kunal Bhasin, Deputy CTO,

793 views • 44 slides
Today More on memory bugs Java vs C, the ba:le.

Today More on memory bugs Java vs C, the ba:le.

University of Washington Today More on memory bugs Java vs C, the ba:le. 1 University of Washington Memory-Related Perils and PiAalls

603 views • 46 slides
Lo Locally Differentially Private Frequency Es Esti timati tion on Ex Exploi oiti ting Con

Lo Locally Differentially Private Frequency Es Esti timati tion on Ex Exploi oiti ting Con

Lo Locally Differentially Private Frequency Es Esti timati tion on Ex Exploi oiti ting Con Consi sistency Tianhao Wang Purdue University Joint work with Milan Lopuha-Zwakenberg, Zitao Li, Boris Skoric, Ninghui Li 1 Privacy in

336 views • 14 slides
Patterns for Safety-Critical Java Memory Usage Juan Rios 1 Kelvin Nilsen 2 Martin Schoeberl 1 1

Patterns for Safety-Critical Java Memory Usage Juan Rios 1 Kelvin Nilsen 2 Martin Schoeberl 1 1

Motivation Contribution Summary Patterns for Safety-Critical Java Memory Usage Juan Rios 1 Kelvin Nilsen 2 Martin Schoeberl 1 1 Department of Informatics and Mathematical Modelling Technical University of Denmark 2 Atego Systems, Inc. Java

448 views • 33 slides
Memory Usage Estimation for Java Smart Cards G ERARDO S CHNEIDER IRISA/INRIA - R ENNES , F RANCE

Memory Usage Estimation for Java Smart Cards G ERARDO S CHNEIDER IRISA/INRIA - R ENNES , F RANCE

Memory Usage Estimation for Java Smart Cards G ERARDO S CHNEIDER IRISA/INRIA - R ENNES , F RANCE CASTLES: Conception dAnalyses Statiques et de Tests pour le Logiciel Embarqu e S ecuris e NWPT04 - Uppsala, 06 October 2004 Memory

828 views • 43 slides
The need for a formal model of Java Safety guarantees of Java definedness type safety

The need for a formal model of Java Safety guarantees of Java definedness type safety

Making the Java Memory Model Safe Andreas Lochbihler Institute for Information Security ETH Zurich supported by DFG Sn11/10-1,2 The need for a formal model of Java Safety guarantees of Java definedness type safety security

595 views • 44 slides
Realtime Java Christoph Neijenhuis Agenda 2 RT Problems in Java Solutions: RTSJ and

Realtime Java Christoph Neijenhuis Agenda 2 RT Problems in Java Solutions: RTSJ and

Realtime Java Christoph Neijenhuis Agenda 2 RT Problems in Java Solutions: RTSJ and others Guiding Principles Memory Management Threads Asynchronous Event Handling Scheduling Time Synchronization

802 views • 20 slides
Memory System Behavior of Java-Based Middleware Martin Karlsson, Kevin E. Moore, Erik Hagersten

Memory System Behavior of Java-Based Middleware Martin Karlsson, Kevin E. Moore, Erik Hagersten

Memory System Behavior of Java-Based Middleware Martin Karlsson, Kevin E. Moore, Erik Hagersten and David A. Wood February 11, 2003 Ninth International Symposium on High Performance Computer Architecture Java-Based Middleware: An Important New

284 views • 26 slides
ZigZag: Automa,cally Hardening Web Applica,ons Against Client- side Valida,on Vulnerabili,es

ZigZag: Automa,cally Hardening Web Applica,ons Against Client- side Valida,on Vulnerabili,es

ZigZag: Automa,cally Hardening Web Applica,ons Against Client- side Valida,on Vulnerabili,es PRESENTED BY SAI TEJ KANCHARLA Content Introduc,on Mo,va,on And Threat Model System Overview Invariant Detec,on Invariant

549 views • 26 slides
Java Java Basics Java Program Statements Java Review Conditional statements

Java Java Basics Java Program Statements Java Review Conditional statements

Java Java Basics Java Program Statements Java Review Conditional statements Repetition statements (loops) Writing Classes in Java Selim Aksoy Class definitions Bilkent University Encapsulation and Java modifiers

346 views • 11 slides
Multicore Programming Java Memory Model Jaroslav ev Peter Sewell ck Tim Harris

Multicore Programming Java Memory Model Jaroslav ev Peter Sewell ck Tim Harris

Multicore Programming Java Memory Model Jaroslav ev Peter Sewell ck Tim Harris University of Cambridge MSR with thanks to Francesco Zappa Nardelli, Susmit Sarkar, Tom Ridge, Scott Owens, Magnus O. Myreen, Luc Maranget, Mark Batty,

901 views • 74 slides
Data Caching, Garbage Collection, and the Java Memory Model Wolfgang Puffitsch

Data Caching, Garbage Collection, and the Java Memory Model Wolfgang Puffitsch

Data Caching, Garbage Collection, and the Java Memory Model Wolfgang Puffitsch wpuffits@mail.tuwien.ac.at JTRES 09, September 23-25, 2009 1 / 24 Motivation I Sequential consistency is expensive Multi-processors often implement

561 views • 24 slides
CPSC 213 Read assembly code Java weak references, reference objects, reference queues

CPSC 213 Read assembly code Java weak references, reference objects, reference queues

Learning Goals 1 Learning Goals 2 Not Covered on Final Memory Read Assembly Details of memory management Endianness and memory-address alignment CPSC 213 Read assembly code Java weak references, reference objects,

253 views • 6 slides
10 Objects, Variables, Memory Michele Van Dyne MUS 204B mvandyne@mtech.edu

10 Objects, Variables, Memory Michele Van Dyne MUS 204B mvandyne@mtech.edu

10 Objects, Variables, Memory Michele Van Dyne MUS 204B mvandyne@mtech.edu https://katie.mtech.edu/classes/csci136 Where Java stores stuff The Heap The Stack Breaking both Java Garbage Collector (GC) Creating objects

746 views • 39 slides

More recommend