Sandbox, un efficace approccio dei browser alla sicurezza del web

Posted by Benedetto Voltattorni On Settembre 4, 2012 In Approfondimenti 11 Comments

La scelta di misure di sicurezza per la protezione del sistema operativo non passa soltanto attraverso l???utilizzo di specifici software quali, ad esempio, antivirus e firewall, ma anche indirettamente tramite la scelta del browser con il quale poter navigare.

Dando uno sguardo ai dati relativi alla diffusione negli ultimi due anni dei cinque principali browser si evince chiaramente il successo che Google Chrome ha ottenuto dal 2008, anno del suo rilascio, ad oggi e che lo porta ad essere attualmente il browser maggiormente utilizzato.

Browser share

Negli ultimi anni i browser si sono trasformati sempre pi?? da semplici parser HTML ad applicativi multifunzione sempre pi?? complessi, costretti ad interagire con svariate tecnologie di terze parti, plugin vari necessari per poter riprodurre i diversi formati presenti ad oggi nel web – Adobe Flash, Microsoft Silverlight, Oracle Java sono solo alcuni esempi.

La sicurezza di un browser non ?? quindi data soltanto dalla stabilit?? del proprio codice – sebbene questa ricopra un ruolo di primaria importanza – ma anche da quella dei plugin installati. Una falla nel plugin di Abode Flash, ad esempio, potrebbe compromettere la sicurezza dell???intero sistema, a meno che il browser non sia pronto a gestire tale eventualit??. Eventualit??, questa, tutt???altro che remota ma che ??, anzi, predominante negli attacchi da remoto che ogni giorno vengono scoperti online.

Nel corso degli anni sono state applicate dagli sviluppatori dei maggiori browser differenti tecnologie di sicurezza atte a rendere il lavoro dei pirati informatici sempre pi?? arduo. Ad oggi, una delle tecnologie pi?? utilizzate all???interno della maggior parte dei browser ?? la sandbox.

Come per?? i maggiori browser implementino tale tecnologia sar?? oggetto di analisi nel corso dell???articolo. Sebbene questo fattore non possa essere utilizzato come unica discriminante nella valutazione di un browser, esso rappresenta sicuramente una caratteristica di cui dover tenere conto.

Al fine di poter confrontare i diversi browser nelle rispettive implementazioni, ?? utile capire a grandi linee quali sono gli elementi che permettono la realizzazione di una sandbox.

L???obiettivo di una sandbox ?? quello di isolare dal punto di vista comportamentale e logico una porzione di codice.

L???esecuzione di ogni tab del browser sotto forma di singolo processo ?? un buon punto di partenza e presenta due vantaggi fondamentali: il primo ?? dato da una gestione locale delle caratteristiche di sicurezza (magari assegnando limitazioni pi?? o meno restrittive a differenti tab), il secondo ?? dato dall???evitare che un crash avvenuto all???interno di una tab possa portare alla chiusura dell???intero browser. Chiaramente per poter implementare tale tecnologia ?? necessario dover cambiare completamente l???architettura del browser, rendendola quindi estremamente modulare.

Limitazioni vere e proprie possono essere gestite tramite altri meccanismi messi a disposizione dal sistema operativo (nello specifico Windows), tra i quali:

Access Token
Il token associato ad un processo contiene, tra le varie informazioni, i privilegi associati al processo e il suo livello di integrit??.

Livelli di integrit??
Implementati a partire da Windows Vista, i livelli di integrit?? permettono di assegnare diritti diversi a processi appartenenti allo stresso user account. A differenza di Windows XP in cui i diritti di accesso a una risorsa erano di default uguali per ogni processo creato dallo stesso utente ed erano stabiliti soltanto dalle ACL (Access List), da Windows Vista in poi grazie all???introduzione dei livelli di integrit?? ?? stato possibile effettuare una suddivisione pi?? raffinata. In ordine crescente di limitazioni, abbiamo livello integrit?? Sistema, Alto, Medio, Basso e Non attendibile. Se non diversamente specificato le applicazione utente del sistema sono create con livello Medio. Vale la regola generale secondo la quale un oggetto con un dato livello di integrit?? non pu?? mai accedere ad un oggetto con un livello di integrit?? superiore. Si noti che i livelli di integrit?? non vengono utilizzati solo a livello di processi ma anche a livello di scambio di messaggi tra elementi grafici (UIPI).

Job object
Un job ?? un oggetto che in ambiente Windows permette di trattare un insieme di processi come un???unica entit??. Impostando le caratteristiche del job si pu?? agire indirettamente sulle regole comportamentali dei processi ad esso associati, permettendo di aggiungere ulteriori limitazioni rispetto a quelle gi?? presenti nell???access token del processo.

Gli elementi sopra elencati rappresentano soltanto alcuni degli strumenti sfruttati dai browser per implementare tecniche di sandboxing e che nello specifico fanno riferimento a funzionalit?? e oggetti messi a disposizione direttamente dal sistema operativo. Tuttavia ?? possibile, come nel caso di Chrome, ricorrere a tecniche pi?? avanzate (come l???hooking della API di sistema) per tenere sotto controllo il comportamento di ogni singolo processo.

Analizzata a grandi linee come una sandbox ?? realizzata, ?? utile comprendere il perch?? questa sia cos?? importante e soprattutto da cosa ci protegge. Sar?? utile dunque porsi nell???ottica di un attaccante e cercare di capire perch?? ?? fondamentale far s?? che un processo non possa eseguire, o possa farlo con dei limiti, determinate operazioni.

Nel caso specifico di un browser, il primo passo effettuato da un attaccante ?? quello di sfruttare un bug presente nel codice del software di navigazione tramite un exploit. Questo potrebbe occorrere anche visitando semplicemente una pagina web creata ad hoc che sfrutti un bug del motore di rendering HTML del browser o di uno dei vari plugin installati, presenti solitamente sottoforma di libreria DLL caricata nello spazio di indirizzamento del processo del browser stesso.

Anche utilizzando le tecniche di sicurezza introdotte in Windows Vista e 7 precedentemente descritte, sono comunque presenti scenari di attacco di cui i browser dovrebbero tenere conto.

Immaginiamo che l???avversario abbia ottenuto il controllo del flusso di esecuzione di un processo con privilegi limitati. A questo punto potrebbe tentare di elevarli (attacco privilege escalation) avviando un nuovo processo familiare all???utente, come il blocco note (notepad.exe), e iniettando al suo interno il codice nocivo. In questo modo ?? molto pi?? probabile che l???utente, f??dandosi del processo, approvi eventuali richieste di azioni sospette (social engineering).

L???attaccante avrebbe avuto vita pi?? facile qualora il processo del browser fosse stato avviato con livelli di integrit?? di default (medio)i. Per questo motivo una buona regola sarebbe quella di far eseguire, nei limiti del possibile, il processo del browser con un basso livello di integrit??. Come vedremo in seguito non tutti i browser adottano questa misura di sicurezza.

Supponiamo ora che l???utente abbia acconsentito al processo notepad.exe di effettuare liberamente le operazioni richieste. A questo punto il codice malevolo potrebbe tentare di leggere informazioni confidenziali sul disco o di scrivere un nuovo eseguibile per poterlo avviare al successivo riavvio del sistema inserendo un???opportuna chiave nel registro di sistema, mantenendo quindi il controllo della macchina infetta.

Un modo alternativo che hanno a disposizione i processi per comunicare ?? quello dello scambio di messaggi IPC, utilizzati anche per la comunicazione fra gli elementi dell???interfaccia grafica (window). Altri tipi di attacco possono sfruttare questo scambio di informazioni per aggirare i controlli precedentemente descritti (un esempio di abuso di tale tecnologia ?? lo shatter attack). E??? buona regola quindi isolare i processi il pi?? possible anche da questo punto di vista tramite l???utilizzo di desktop alternativi a quello principale e limitando i privilegi di acesso alle sole finestre che riguardano l???applicazione.

Altre informazioni confidenziali possono essere ricavate dalla lettura della clipboard, una particolare area di memoria condivisa fra i processi – che spesso viene sottovalutata – in cui vengono salvate le informazioni del classico meccanismo di copia-incolla.

La seguente tabella riporta come i tre browser maggiormente diffusi gestiscono gli aspetti critici precedentemente descritti.

Browser security features

Uno degli aspetti che pi?? saltano all???occhio ?? la totale assenza di una qualsiasi misura di sandboxing da parte di Firefox. Dietro questa mancanza di interesse da parte del team di Mozilla, culminata con l???abbandono (?) del progetto Electrolysis, si nasconde forse una scelta progettuale ben precisa, basata sulla (eccessiva?) fiducia del proprio codice e dei gestori di plugin di terze parti.

?? il caso di Flash e Silverlight, che come possiamo vedere vengono gestiti da un processo totalmente separato e indipendente dal processo Firefox:

Flash plugin in Firefox

Non ?? un caso che gli utenti Firefox ricorrano spesso all???uso di add-on quali NoScript. C????? da chiedersi per?? fino a che punto questa possa essere ritenuta una scelta ottimale in termini di sicurezza e non una forzatura per sopperire alla mancanza di tutela da parte degli sviluppatori.

Un altro aspetto non di poco conto ?? con quale livello di integrit?? i processi del browser vengono eseguiti:

Integrity levels

Come detto in precedenza, almeno dal punto di vista della sicurezza, ?? sempre preferibile eseguire processi potenzialmente vulnerabili ad un livello di integrit?? il pi?? basso possibile per limitarli nel caso di un???eventuale infezione.

Nel caso specifico, Firefox viene sempre eseguito con livello di integrit?? medio e pu?? quindi avere accesso ad ogni altra applicazione utente.

A differenza del browser di Mozilla, Internet Explorer implementa una propria sandbox utilizzando esclusivamente le funzionalit?? messe a disposizione dal sistema operativo stesso.

Le varie tab aperte dall???utente sono gestite come processi indipendenti incapsulati all???interno di job object con livello di integrit?? basso. Questa soluzione non permette ai processi del browser di accedere in scrittura alla maggior parte delle risorse di sistema: gli accessi in scrittura sul registro sono limitati alla chiave

HKEY_CURRENT_USERSoftwareAppDataLow

mentre sul disco si pu?? scrivere esclusivamente nella directory

%USER PROFILE%AppDataLocalLow

ne permette comunque l???accesso completo in lettura.

Un attaccante che, potenzialmente, prende possesso del processo associato alla pagina web ha inoltre la possibilit?? di scrittura su tutti i processi, file su disco o di inviare messaggi IPC che condividono il livello di integrit?? basso, possiblit?? che potrebbe risultare rischiosa (ricordiamo la privilege escalation tramite social engineering) ma che in generale non comporta scenari di immediato pericolo.

Oltre a questa limitazione di sicurezza Internet Explorer non aggiunge al job restrizioni che riguardino clipboard e la creazione di processi, lasciando quindi la possibilit?? di accesso completo a questa zona di memoria condivisa e di generazione di nuovi processi figlio (che comunque erediteranno il livello di integrit?? basso).

Il principale difetto che si pu?? facilmente notare nella sandbox di Internet Explorer ?? il fatto che ?? completamente inutilizzabile in Windows XP: dato che questo sistema operativo non prevede la suddivisione in livelli di integrit?? i processi del browser rimangono totalmente esposti agli attacchi.

A differenza dei suoi due maggiori concorrenti, Google Chrome pone molta pi?? attenzione all???aspetto della sicurezza imponendo notevoli restrizioni tramite il job assegnato ad ogni processo tab creato.

Job security restrictions

La limitazione nella scrittura della clipboard (precedentemente avevamo accennato al problema nella lettura) ?? molto importante in quanto permette di evitare a un processo infetto di usare questo ???ponte di comunicazione??? per passare ad esempio dei comandi ad altri processi.

La comunicazione tra processi ?? tenuta ancora pi?? sotto controllo limitando lo scambio di messaggi tra gli elementi dell???interfaccia grafica del browser. Questo ?? possibile grazie alla creazione da parte di Chrome di un oggetto desktop dedicato ai singoli elementi del browser.

Ogni tab viene inoltre eseguita come un processo separato al quale viene associato il livello di integrit?? ???Non attendibile???. Cos?? facendo i processi non hanno accesso n?? in lettura n?? in scrittura alle informazioni provenienti da qualsiasi risorsa (registoro di sistema, processi, disco, ???) di livelli di integrit?? superiore. Cos?? facendo si limita l???infezione ai processi aventi lo stesso livello di integrit??.

ACL differences

Ulteriori limitazioni sono state introdotte da Chrome grazie alla notevole riduzione dei diritti associati all???access token. In questo modo il browser pu?? realizzare almeno in parte la sua sandbox anche in sistemi operativi in cui non sono previsti livelli di integrit??.

A differenza di Firefox e Internet Explorer, Chrome sfrutta anche la tecnica dell???hooking per controllare quale API di sistema vengono invocate dal browser, bloccando tentativi di accesso
alla memoria di altri processi esterni e l???esecuzione di funzioni potenzialmente pericolose se usate impropriamente tra le quali: NtCreateFile, NtOpenFile, NtOpneProcess, NtOpenThread.

Vale la pena sottolineare come le funzionalit?? della sandbox di Chrome non si basino soltanto sull???uso dei livelli di integrit??, che anzi possono essere considerati come un elemento aggiuntivo a quella che abbiamo visto essere un???architettura solida e in grado di sfruttare diverse tecniche di sandboxing.

Questo rappresenta sicuramente un grosso punto a favore di Chrome, che allo stato attuale delle cose resta di fatto uno dei pochi browser in grado di mantenere un buon livello di sicurezza anche se eseguito su sistemi operativi pi?? datati come Windows XP.

A maggior ragione se si pensa alla recentissima collaborazione tra Google e Adobe che ha portato all???integrazione del Flash Player all???interno della sandbox nativa di Chrome, che ad oggi rimane l???unico browser in grado di garantire una versione sotto sandbox del plugin su Windows XP.

Benedetto Voltattorni
Marco Bizzarri

11 Responses

Berillio 6 Settembre 2012

Sandboxes are Overrated
http://hackademix.net/2012/02/16/sandboxes-are-overrated-told-you-4-years-ago/

Rispondi

Marco Bizzarri 13 Settembre 2012

Sandboxes are not overrated: the biggest percentual of worldwide infections, as of today, are drive-by exploits coming from browsers, so, if you want to keep your local system (which is still critical, we can’t just say that nobody is interested in the data stored locally) safe while you’re surfing the web, a browser which is supposed to be secure should isolate as much as possible its code from other system resources.
Manzo 13 Settembre 2012

Forse 10 anni fa. Con il progredire del web le cose stanno cambiando l’attivit?? delle persone si svolge prevalentemente sul web, e le vulnerabilit?? delle web app stanno diventando una maggiore minaccia per gli utenti. E voi che conoscete bene il “cloud” dovreste saperlo

Proprio qualche giorno fa sono stati pubblicati questi dati:
http://blogs.msdn.com/b/ie/archive/2012/09/10/xss-trends-and-internet-explorer.aspx

in cui si evince: “A more recent study by Veracode using data from the Web Hacking Incident Database shows that XSS is the most prevalent vulnerability in Web applications and the second most likely to be leveraged in real-world attacks.”

Contro queste vulnerabilit?? le sandbox possono fare poco o niente, anzi sftruttando una Universal XSS ?? stato possibile bucare proprio la sandbox di Chrome e di ChromeOS

Se poi vorliamo parlare di integrit?? del sistema locale, voglio fare notare che i drive-by exploits sfruttano principalmete 0day di plugin, come ad esempio JAVA, che non girano sotto la supervisione della sandbox, lasciando cos?? l’utente infetto.
ITSEC 14 Settembre 2012

Bisogna fare chiarezza tra le falle relative alle web application e l’integrit?? del sistema, sono due cose completamente diverse.

Confermo che XSS, SQL Injection e altre tipologie di attacco lato web siano attacchi altamente diffuse, ma si tratta di un altro argomento che a poco rientra nel qu?? presente articolo – senza considerare che sono tipologie di attacco dove l’utente finale pu?? spesso fare ben poco.

Confermo inoltre che attacchi di tipo XSS siano, nella classifica totale delle vulnerabilit?? (non divise per categorie) la seconda tipologia di attacchi pi?? diffusi. Infatti la prima tipologia di attacchi pi?? diffusi ?? l’esecuzione di codice da remoto, per l’appunto ci?? di cui si parla in questo articolo.

“Almost a quarter of vulnerabilities (24,2%) allowed hackers to compromise a system by executing arbitrary code on the victim`s computer, 21% led to Cross-Site Scripting”

http://www.ptsecurity.com/download/Vulnerability-Statistics-for-2011.pdf

Per quanto riguarda i drive-by epxloit, s??, esattamente, utilizzano principalmente (ma non esclusivamente!) falle di plugin aggiuntivi al browser, come specificato gi?? nell’articolo. Ma come Java (che ?? purtroppo molto difficile da filtrare a livello di sandbox), ci sono altri plugin molto diffusi quali ad esempio Flash – che ?? al top della classifica degli attacchi 0day da remoto – cos?? come c’?? Quicktime (anch’esso stato utilizzato spesso come vettore di attacchi). Plugin ampiamente filtrati dalle sandbox

Giusto per parlare di Flash, ?? stato il plugin con maggiori 0day (3) nel corso del 2011, statistiche alla mano.

Un altro vettore di attacchi, ad esempio, sono attacchi 0day ad Adobe Acrobat Reader. Qui Google Chrome ha addirittura implementato il proprio lettore .pdf, che viene eseguito all’interno della propria sandbox, al fine di mitigare questa tipologia di attacchi da remoto.

Per quanto riguarda Java, una caratteristica alquanto utile di Chrome ?? la disattivazione automatica del plugin Java in caso vengano rilasciati aggiornamenti, ritenendolo obsoleto e a rischio di possibili attacchi. Non previene totalmente attacchi 0day tramite Java perch?? lascia la decisione finale all’utente se attivarlo sebbene sia obsoleto o meno, ma perlomeno tenta di fare qualcosa.

Non bisogna quindi sottovalutare le tipologie di attacco alle web application, ma non bisogna neanche sminuire l’importanza per un browser di poter garantire (o tentare di garantire) l’integrit?? del sistema dove viene eseguito.

Dire che la sandbox in un browser ?? obsoleta ed inutile significa lasciare aperto un vettore di attacchi spaventosamente ampio e diffuso – vedasi la proliferazione nel mondo underground di kit automatizzati per l’esecuzione di codice da remoto quali BlackHole, Elenoire e moltissimi altri.

Se non fosse un argomento cos?? importante nel 2012, il SANS non rilascerebbe ancora whitepaper su come mitigare gli attacchi al sistema tramite browser

http://www.sans.org/reading_room/whitepapers/warfare/mitigating-browser-based-exploits-behavior-based-defenses-hardware-virtualization_33804
Manzo 14 Settembre 2012

Il flashplayer prima dell’introduzione di PPAPI era filtrato solo parzialmente, tramite un IL low e un token USER_INTERACTIVE, evidentemente non sufficienti dato che ?? stato bucato da VUPEN.
Java non ?? filtrato, ed ?? attualmente tra gli 0 day pi?? sfruttati, anche da BlackHole.
Quicktime non ?? filtrato.
Direi quindi Plugin ampiamente NON filtrati dalle sandbox.
La blacklist per i plugin vulnerabili ?? presente anche in altri browser privi di sandbox.
Per i PDF anche altri browser privi di sandbox hanno implementato un lettore interno con un approccio diverso.

Sempre riguardo l’integrit?? del sistema una sandbox non pu?? niente contro attacchi di ingegneria sociale che convincono l’utente ad eseguire volontariamente del codice.

La sandbox non ?? obsoleta ?? il concetto di salvaguardare l’integrit?? del sistema attraverso la sandbox del browser che ?? da anni ’90. Non ?? il browser che deve garantire o tentare di garantire l’integrit?? del sistema. E’ il sistema che deve garantire l’integrit?? e l’isolamento di tutte le APP.
Si veda la strada intrapresa con Win8 Metro/WinRT, GoogleOS, nei prossimi anni, con questi nuovi OS con i loro account nel cloud, le Web App rivesterano un ruolo centrale, e il concetto di sandbox e isolamento sar?? implementato su tutti i livelli, per evitare di avere il sistema compromesso.

Confermo che ?? un argomento importante, ma quel paper di SANS fa molto anni ’90 ????

nV 25 13 Settembre 2012

ottimo articolo che offre molti elementi di crescita, quantomeno per me.

Grazie

Rispondi

nV 25 13 Settembre 2012

la presenza dell’elemento
BUILTINAdministrators con flag impostata su DENY ?? indice del fatto che gli screenshot sono stati presi da un account amministratore sebbene in AAM, mi sbaglio?

Rispondi

Benedetto Voltattorni 13 Settembre 2012

Ciao NV 25.
Innanzitutto grazie per i commenti positivi e per il tuo contributo.
Come giustamente hai notato, la presenza di BUILTINAdministrators con flag DENY st?? ad indicare l???utilizzo di un account di tipo Protected Administrator.
La cosa ancora pi?? interessante ?? notare tuttavia come Chrome ed Internet Explorer gestiscano differentemente l???avvio del browser in modalit?? amministratore.
Mentre Internet Explorer assegna i privilegi di Elevated Administrator sia al processo broker che ai processi delle singole tab, Chrome continua a garantire la sicurezza assegnando tali privilegi solo al broker, lasciando inalterati quelli dei processi tab.
Benedetto

nV 25 13 Settembre 2012

…non che cambi nulla della vostra analisi, ?? pura curiosit??.

Ciao e grazie ????

Rispondi

ITSEC 17 Settembre 2012

@Manzo:

scusa se continuo qui, ma non mi viene permesso di aggiungere ulteriori sotto-risposte al tuo ultimo commento per questioni di numero di commenti nidificati.

1) Non importa se la sandbox di Flash in Chrome era fatta bene, meno bene o male, almeno un tentativo era stato fatto. Quello che importa ?? che comunque era stata fatta e prima di VUPEN nel 2012 nessun altro era riuscito a bypassare tale sandbox (che era comunque molto inferiore rispetto alla sandbox originale utilizzata da Chrome). Poi ?? stata migliorata, giustamente, dopo che sono state scoperte delle falle. Sicuramente un approccio pi?? orientato alla sicurezza di chi neanche se n’?? curato di fare una cosa del genere, o chi ha iniziato un progetto anni fa e non l’ha mai completato;

2) S??, ci sono browser che hanno implementato PDF reader interni al browser, senza sandbox per l’appunto. Se succede qualcosa o si scopre una falla, non c’?? nessun altro meccanismo di difesa, un approccio multi-layer a difesa del sistema. In altre parole, l’utente si attacca, e risiamo daccapo al discorso;

3) Sar?? anche un approccio che fa molto anni ’90, ma non ?? che perch?? suona anni ’90 bisogna chiudere gli occhi di fronte ad un problema reale, vero, che permette numerosi attacchi ogni giorno. Non sar?? il browser che si deve occupare di tale cosa bens?? il sistema operativo, ok, la teoria ?? giusta. E nel frattempo che il sistema operativo non se ne cura? Lasciamo tutto scoperto? Non ?? girandosi dall’altra parte e dicendo “non sono io che me ne devo occupare, ?? un altro” che si pu?? arrivare intanto ad una soluzione, almeno temporanea, del problema ????

Ciao e grazie per gli interventi ????

Rispondi

Sampei Nihira 19 Settembre 2012

http://imageshack.us/photo/my-images/696/immaginetsp.jpg/

Complimenti per l’articolo e la nuova societ??.
Sarebbe interessante un approfondimento in tema IL.
Con ICACLS ho abbassato l’IL di Sumatrapdf e VLC a livello “low”.
Non hanno problemi che mi impediscono il loro uso.
Tentando di emulare Chrome ho usato il tool di Minasi(come si vede nell’immagine sopra) per raggiungere il livello untrusted.
Ma i sw non si avviano.

Mi chiedo perch?? Chrome s?? ed altri no ?

p.s. Salutatemi Eraser,visto che non frequento pi?? HW Upgrade gli mando i miei saluti qu??.

Rispondi

Leave a Reply