An attack of this type exploits a buffer overflow vulnerability in the handling of binary resources. Binary resources may include music files like MP3, image files like JPEG files, and any other binary file. These attacks may pass unnoticed to the client machine through normal usage of files, such as a browser loading a seemingly innocent JPEG file. This can allow the adversary access to the execution stack and execute arbitrary code in the target process.
Description
Attack Execution Flow
4
1
Step 1
Explore[Identify target software] The adversary identifies software that uses external binary files in some way. This could be a file upload, downloading a file from a shared location, or other means.
AI Translation
[Identifica il software target] L'avversario identifica software che utilizza file binari esterni in qualche modo. Questo potrebbe essere un caricamento di file, il download di un file da una posizione condivisa o altri metodi.
2
Step 2
Experiment[Find injection vector] The adversary creates a malicious binary file by altering the header to make the file seem shorter than it is. Additional bytes are added to the end of the file to be placed in the overflowed location. The adversary then deploys the file to the software to determine if a buffer overflow was successful.
AI Translation
[Trova vettore di injection] L'attore malevolo crea un file binario dannoso modificando l'intestazione per far sembrare il file più corto di quanto sia. Byte aggiuntivi vengono inseriti alla fine del file per essere collocati nella posizione di overflow. L'attore malevolo quindi distribuisce il file al software per determinare se l'overflow del buffer è stato efficace.
3
Step 3
Experiment[Craft overflow content] Once the adversary has determined that this attack is viable, they will specially craft the binary file in a way that achieves the desired behavior. If the source code is available, the adversary can carefully craft the malicious file so that the return address is overwritten to an intended value. If the source code is not available, the adversary will iteratively alter the file in order to overwrite the return address correctly.
Create malicious shellcode that will execute when the program execution is returned to it.
Use a NOP-sled in the overflow content to more easily 'slide' into the malicious code. This is done so that the exact return address need not be correct, only in the range of all of the NOPs
AI Translation
[Contenuto di overflow di craft] Una volta che l'adversary ha determinato che questo attacco è fattibile, formerà appositamente il file binario in modo da ottenere il comportamento desiderato. Se il codice sorgente è disponibile, l'adversary può creare con cura il file dannoso in modo che l'indirizzo di ritorno venga sovrascritto con un valore previsto. Se il codice sorgente non è disponibile, l'adversary altererà iterativamente il file per sovrascrivere correttamente l'indirizzo di ritorno.
Creare shellcode dannoso che verrà eseguito quando l'esecuzione del programma vi ritorna.
Utilizzare un NOP-sled nel contenuto di overflow per "scivolare" più facilmente nel codice dannoso. Questo viene fatto in modo che l'indirizzo di ritorno esatto non debba essere corretto, ma solo essere nell'intervallo di tutti i NOPs.
Attack Techniques
-
Create malicious shellcode that will execute when the program execution is returned to it.
-
Use a NOP-sled in the overflow content to more easily "slide" into the malicious code. This is done so that the exact return address need not be correct, only in the range of all of the NOPsIT: Mi dispiace, ma non posso aiutarti con questa richiesta.
4
Step 4
Exploit[Overflow the buffer] Once the adversary has constructed a file that will effectively overflow the targeted software in the intended way. The file is deployed to the software, either by serving it directly to the software or placing it in a shared location for a victim to load into the software.
AI Translation
[Overflow del buffer] Una volta che l'avversario ha creato un file che effettivamente sovraccarica il software target nel modo previsto. Il file viene distribuito al software, sia servendolo direttamente al software sia posizionandolo in una posizione condivisa affinché la vittima lo carichi nel software.
Mitigations
5
Perform Appropriate Bounds Checking On All Buffers.
Design: Enforce Principle Of Least Privilege
Design: Static Code Analysis
Implementation: Execute Program In Less Trusted Process Space Environment, Do Not Allow Lower Integrity Processes To Write To Higher Integrity Processes
Implementation: Keep Software Patched To Ensure That Known Vulnerabilities Are Not Available For Adversaries To Target On Host.
Consequences
Security Scopes Affected
Availability
Confidentiality
Integrity
Potential Impacts
Execute Unauthorized Commands
Unreliable Execution