Viable ROP-free roadmap for i386/armv8/riscv64/alpha/sparc64 https://undeadly.org/cgi?action=article;sid=20230925061225 #openbsd #retguard #rop #rop-free #security #roadmap

Что такое retguard

Removing ROP Gadgets from OpenBSD (EuroBSD 2018, Todd Mortimer)

• Для каждой функции выделяется свое случайное значение (random cookie) из ELF-секции .openbsd.randomdata.
• При входе в функцию вычисляется и сохраняется с стековом фрейме результат операции XOR адреса возврата и этого случайного значения (random cookie ^ return address).
• Перед выходом из функции извлекается адрес возврата и вычисляется операция XOR со значением, сохраненным в фрейме стека (saved value ^ return address). Если результат вычисления не совпадает с ассоциированным с функцией случайным значением (random cookie), то исполнение прерывается.

Что изменилось в 7.3

Теперь механизм retguard внедрен в заглушки системных вызов пользовательского режима (libc, ld.so, базовые программы) для архитектуры amd64 (как это уже есть для архитектуры arm64).
Это серьезно усложнят использование кода заглушек системных вызовов (в частности инструкции syscall) в качестве элементов #ROP цепочек (наряду с уже используемыми механизмами #aslr и перелинковки libc.so и ld.so).

#security #openbsd #retguard

retguard for amd64 system calls https://undeadly.org/cgi?action=article;sid=20230111063250 #openbsd #retguard #ROP #security

Careful, if you blinked you may have missed that #RETGUARD has reduced the number of useful #ROP gadgets at runtime on #OpenBSD/arm64 to zero.

https://marc.info/?l=openbsd-cvs&m=153651131322162&w=2

More improvements to #RETGUARD from mortimer@, including some refactoring for portability. Oh, and #OpenBSD/arm64 support. :flan_cool:

https://marc.info/?l=openbsd-cvs&m=153409318102748&w=2
https://marc.info/?l=openbsd-cvs&m=153409363302905&w=2
https://marc.info/?l=openbsd-cvs&m=153409411702999&w=2

#clang #ROP #infosec

mortimer@ has been a busy bee.

He's been working on the #retguard feature in #llvm #clang for #OpenBSD's #arm64 platform, and it has survived two different package bulk builds. No major failures, even rust builds and runs fine.

Todd Mortimer just landed his #RETGUARD mitigation work (aka #clang -fret-protector) into #OpenBSD -current, and enabled by default.

https://marc.info/?l=openbsd-cvs&m=152824407931917&w=2

#infosec

Theo de Raadt on #RETGUARD: return-address protection using #clang: https://marc.ttias.be/openbsd-tech/2017-08/msg00349.php #OpenBSD

"The preamble XOR's the return address at top of stack with the stack pointer value itself."

"ROP attack methods are impacted because existing gadgets are transformed to consist of '<gadget artifacts> <mangle ret address> RET'."

"That pivots the return sequence off the ROP chain in a highly unpredictable and inconvenient fashion."