这篇题为“Jenny:为基于pku的内存隔离系统保护系统调用”的技术论文由格拉茨理工大学(奥地利)的研究人员于2022年8月在波士顿举行的USENIX安全研讨会上发表。
文摘:
有效的系统调用过滤是抵御我们今天面临的众多利用技术和特权升级攻击的关键组件。例如,现代浏览器使用沙箱技术和系统调用过滤来隔离关键代码。云计算大量使用容器,容器虚拟化了系统调用接口。最近,由于性能原因,云提供商正在转向进程内容器,要求更好的隔离原语。有一种新的隔离原语有可能填补这一空白,它被称为用户空间保护密钥(PKU)。不幸的是,先前的研究强调了基于pku的系统如何管理系统调用的严重缺陷,质疑其安全性和实用性。
在这项工作中,我们全面研究了基于pku的内存隔离系统的系统调用过滤。首先,我们确定了新的基于系统调用的攻击,可以打破PKU沙盒。其次,我们导出了保护PKU域所需的系统调用过滤规则,并展示了有效的执行方法。第三,我们对不同系统调用插入技术的适用性进行了比较研究,从而设计出一种快速灵活的安全系统调用插入技术。
我们设计和原型Jenny -一个基于pku的内存隔离系统,在用户空间中提供强大的系统调用过滤功能。Jenny支持各种插入技术(例如,seccomp和ptrace),并允许以嵌套的方式对特定于领域的系统调用进行过滤。此外,它可以安全地处理异步信号。我们的评估显示,nginx对性能的影响很小,只有0-5%。”
找到技术论文(预出版).
作者:
David Schrammel, Samuel Weiser, Richard Sadek和Stefan Mangard, Graz科技大学
相关的
芯片后门:评估威胁
正在采取措施尽量减少问题,但这些措施需要数年时间才能实施。
商用芯片安全隐患扩大
从多个供应商菜单中选择组件对于降低成本和上市时间有着巨大的希望,但这并不像听起来那么简单。
芯片替换引发安全担忧
在多个细分市场中,许多未知因素将持续数十年。
标准化芯片互连
为什么UCIe对于异构集成如此重要。
更多关于安全的技术论文
留下回复