Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

ASLR: la protección esencial contra la explotación de memoria

Fecha de actualizacion 16/01/2025
Autor
INCIBE (INCIBE)
Imagen decorativa del blog ASLR

A pesar de los significativos esfuerzos de la comunidad de la ciberseguridad para detectarlas y eliminarlas, las vulnerabilidades de corrupción de memoria han sido una amenaza constante para la seguridad del software, afectando tanto a aplicaciones, como a sistemas operativos, a lo largo de las últimas décadas.

Lamentablemente, los errores de corrupción de memoria son difíciles de identificar porque su comportamiento puede ser no determinista y manifestarse de manera inconsistente, ocultando sus efectos hasta mucho después de que ocurren. Además, estos errores pueden tener un impacto indirecto, afectando a partes del programa aparentemente no relacionadas, lo que dificulta rastrear la causa raíz. La complejidad del software moderno, la necesidad de conocimientos especializados para detectar y corregir estos errores y la dificultad para reproducirlos en entornos controlados complican aún más su identificación. 

Desde los primeros años del siglo XXI, los profesionales de la seguridad han desarrollado mecanismos de protección que buscan prevenir la explotación de vulnerabilidades presentes en el software y limitar los daños en caso de una explotación exitosa de las mismas. Aunque no existe una solución perfecta, ASLR es una de las mejores técnicas disponibles actualmente. El proyecto Linux PaX introdujo el concepto de ASLR en julio de 2001, como un parche para el núcleo de Linux. Esta primera implementación de ASLR aleatorizaba las ubicaciones de memoria para los procesos del usuario, haciendo más difícil para los atacantes predecir las direcciones de memoria necesarias para explotar las vulnerabilidades. Posteriormente, en octubre de 2002, dicho proyecto amplió la funcionalidad de ASLR para incluir la aleatorización de la pila del kernel. Esta mejora proporcionó una capa adicional de protección al aplicar ASLR al propio núcleo del sistema operativo, fortaleciendo aún más la capacidad del sistema para resistir ataques basados en la memoria. Reconociendo su eficacia en los sistemas Linux, otros sistemas operativos, incluidos Windows, macOS, Android e iOS, han adoptado ASLR como parte de su estrategia de seguridad. 

Fundamentos de ASLR

La entropía es un concepto clave en ciberseguridad que se refiere al grado de aleatoriedad o imprevisibilidad de ciertos elementos dentro de un sistema. En el contexto de la protección contra ataques, la entropía es crucial porque cuanto más impredecible sea una información, más difícil será para un atacante explotarla. En términos de seguridad de la memoria, la entropía se utiliza para hacer que las ubicaciones de memoria de los procesos sean lo más impredecibles posible, aumentando así la dificultad de los ataques. Este principio es fundamental para mecanismos como la aleatorización del espacio de direcciones (ASLR), que mejora la seguridad del software al aleatorizar las direcciones de memoria donde se cargan las áreas clave de un proceso. Para que un ataque tenga éxito contra un sistema con ASLR, el atacante debe adivinar correctamente las posiciones de todas las áreas que desea atacar porque la dirección del stack es diferente en cada ejecución. Por ejemplo, en una ejecución, la dirección del stack podría comenzar en 0xbfff0000, pero en la siguiente ejecución podría comenzar en 0xbffe0000.

- Asignación aleatoria de direcciones en la pila con ASLR. -

La efectividad de ASLR depende en gran medida de la cantidad de entropía disponible, la cual está directamente relacionada con la arquitectura del sistema. En sistemas de 32 bits, la aleatorización del espacio de direcciones (ASLR) está limitada debido al tamaño máximo de 4 GB del espacio de direcciones, donde ciertas áreas de memoria, como el espacio del kernel y el espacio de usuario, tienen asignaciones fijas. Esta restricción significa que solo se puede aleatorizar una pequeña parte del espacio de manera efectiva, generalmente alrededor de 8 bits de entropía, para evitar interferencias con otras funciones del sistema y mantener la compatibilidad y estabilidad de las aplicaciones. Con solo 8 bits de entropía, existen 256 combinaciones posibles para las ubicaciones de memoria, lo que hace que sea relativamente fácil para un atacante realizar ataques de fuerza bruta y adivinar la ubicación correcta en un tiempo corto. En sistemas de 64 bits, la situación cambia drásticamente. Estos sistemas suelen tener mucha más entropía, a menudo alcanzando millones de valores posibles, lo que aumenta considerablemente el espacio de búsqueda y hace que los ataques de fuerza bruta sean mucho más difíciles y menos probables de tener éxito.

Gestión del estado de ASLR en Windows y Linux

En sistemas Linux y Windows, se puede verificar y modificar el estado de ASLR para mejorar la seguridad o, en algunos casos, desactivarla para pruebas y depuración.

Verificación de ASLR

En Linux, el estado de ASLR se puede verificar leyendo el valor del archivo /proc/sys/kernel/randomize_va_space. Este archivo contiene un valor que determina el nivel de aleatorización aplicado:

  • 0: Sin aleatorización. Todas las direcciones de memoria son estáticas.
  • 1: Aleatorización conservadora. Las bibliotecas compartidas, la pila, mmap(), y la página VDSO están aleatorizadas.
  • 2: Aleatorización completa. Además de los elementos aleatorizados en el nivel 1, la memoria gestionada a través de brk() también se aleatoriza.

Para verificar el estado de ASLR en Linux, se utiliza el comando:

  • cat /proc/sys/kernel/randomize_va_space

En Windows, el estado de ASLR se puede verificar utilizando la herramienta de línea de comandos PowerShell o la política de seguridad local. Para verificar si ASLR está habilitado, se puede ejecutar el siguiente comando de PowerShell. El resultado puede ser ON/OFF si se aplican políticas personalizadas o NOTSET (si lo que aplica es la directiva por defecto del sistema, que activa ALSR por defecto).

  • Get-ProcessMitigation -System

Desactivación de ASLR

En Linux, para desactivar ASLR, se puede establecer el valor de /proc/sys/kernel/randomize_va_space en 0 con el siguiente comando:

  • echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

En Windows, para desactivar ASLR, se puede modificar el registro del sistema. Se utiliza el editor del registro (regedit) y se navega a la clave. Aquí, se cambia el valor de MitigationOptions para desactivar ASLR. También, se puede usar la política de grupo para deshabilitar ASLR para ciertos binarios o para todo el sistema.

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

Activación de ASLR

En Linux, para activar ASLR con aleatorización completa, se establece el valor en 2:

  • echo 2 | sudo tee /proc/sys/kernel/randomize_va_space

Para hacer que los cambios sean persistentes después de un reinicio, se edita /etc/sysctl.conf y se añade:

  •  kernel.randomize_va_space=2

Luego, se aplican los cambios con:

  • sudo sysctl -p

En Windows, para activar ASLR manualmente, se puede configurar a través del editor del registro o mediante políticas de grupo. También, se puede usar PowerShell para configurar ASLR a nivel del sistema o para binarios específicos. En Windows, los cambios realizados a través del registro o las políticas de grupo son persistentes a través de reinicios.

  • Set-ProcessMitigation -System -Enable ASLR

Windows introduce varios modos avanzados de ASLR para aumentar la protección:

  • Bottom-Up randomization: este es el nivel básico de ASLR donde las asignaciones de memoria, como el stack y el heap, se aleatorizan desde direcciones bajas hacia direcciones altas en el espacio de memoria.
  • Force relocate images: este modo obliga a que todas las imágenes de los binarios (como ejecutables y bibliotecas) se reubiquen cada vez que se cargan, incluso si no fueron compiladas con compatibilidad con ASLR. Esto aumenta la aleatorización al asegurar que las ubicaciones de los binarios en la memoria sean impredecibles.
  • High entropy ASLR: este es un modo más robusto de ASLR disponible en sistemas operativos Windows de 64 bits. Utiliza una mayor cantidad de bits de entropía para la aleatorización, lo que hace que las direcciones de memoria sean mucho más impredecibles. 
  • Mandatory ASLR: este modo hace que ASLR sea obligatorio para todos los ejecutables, incluso para aquellos que no fueron compilados con soporte para ASLR. Esto significa que todas las aplicaciones en el sistema se beneficiarán de la aleatorización del espacio de direcciones.

Para activar estos modos avanzados de ASLR en Windows, se puede utilizar el editor de políticas de grupo o el editor del registro:

  • Política de grupo: puedes configurar ASLR y otros mecanismos de mitigación de explotación a través del editor de políticas de grupo (gpedit.msc). Navega a Computer configuration -> Administrative templates -> System -> Mitigation Options y ajusta las políticas de ASLR según sea necesario.
  • Editor del registro: para activar High entropy ASLR o Mandatory ASLR, puedes editar el registro de Windows en la siguiente clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

Buenas prácticas para mitigar las limitaciones de ASLR

ASLR es una técnica efectiva, pero ni mucho menos es la panacea. A continuación, se presentan estrategias que contrarrestan las limitaciones intrínsecas de ASLR:

  • Migrar a sistemas de 64 bits: se recomienda aprovechar la mayor entropía disponible en sistemas de 64 bits para mejorar la efectividad de ASLR a diferencia de los sistemas de 32 bits, que ofrecen un espacio de direcciones limitado. Recompilar y ejecutar aplicaciones en entornos de 64 bits maximiza la seguridad proporcionada por ASLR. No obstante, esto no convierte a la arquitectura en invulnerable. Se recomienda utilizar técnicas de detección de anomalías que identifiquen patrones sospechosos de uso de la pila.
  • Mitigar ataques de fuerza bruta en sistemas de 32 bits: para mitigar estos ataques en sistemas que no puedan ser migrados de arquitectura, es crucial monitorizar intentos repetidos de acceso y fallos de ejecución de programas, que pueden ser indicativos de un ataque de fuerza bruta en curso. Implementar mecanismos de bloqueo temporal o forzar reinicios después de varios intentos fallidos puede interrumpir estos ataques.
  • Utilizar ejecutables independientes de la posición (PIE) y asegurar la aleatorización completa: en sistemas que lo soportan, como Linux, es fundamental utilizar ejecutables y bibliotecas que admitan el modo independiente de la posición (PIE) para asegurar una disposición de memoria diferente en cada ejecución. En Windows, se deben habilitar características como la aleatorización de memoria de abajo hacia arriba (Bottom-Up Randomization) y configurar políticas para forzar la recarga de imágenes a nuevas direcciones aleatorias cuando sea posible.
  • Evitar bypasses mediante monitoreo y actualización constante: se debe estar alerta a posibles técnicas de bypass que los atacantes puedan utilizar, como ret2ret, ret2pop. Estas técnicas explotan aspectos previsibles del espacio de direcciones. Actualizar regularmente el sistema operativo y las aplicaciones puede cerrar muchas de estas brechas, ya que los parches de seguridad tienden a abordar exploits conocidos y a deshabilitar características obsoletas o inseguras que los atacantes podrían explotar.
  • Proteger información sensible en archivos del sistema: evitar que los atacantes utilicen información disponible localmente, como los archivos en /proc/[pid]/stat, que pueden filtrar detalles importantes sobre la disposición de la memoria del proceso. Limitar el acceso a estos archivos, especialmente en sistemas compartidos, y asegurar que los procesos menos privilegiados no puedan acceder a información sensible es clave para prevenir el uso indebido de fugas de información.
  • Implementar mitigaciones contra filtraciones de información: las filtraciones de información (leaks) pueden proporcionar a los atacantes detalles precisos sobre la ubicación de objetos en memoria, permitiéndoles superar ASLR. Para mitigar este riesgo, se debe evitar el registro de direcciones de memoria en logs o mensajes de error.
  • Desactivar o limitar el uso de vsyscall y vDSO: vsyscall (Virtual System Call) y vDSO (Virtual Dynamic Shared Object) son mecanismos utilizados por el kernel de Linux para optimizar el rendimiento de ciertas llamadas al sistema, como obtener la hora del sistema o acceder a funciones de la librería estándar de C. Sin embargo, estos mecanismos asignan ciertas funciones en ubicaciones de memoria predecibles. Para reducir este riesgo, se recomienda configurar el kernel de Linux para desactivar vsyscall o limitar su uso mediante opciones como vsyscall=none o vsyscall=emulate en las configuraciones de arranque.
  • Monitorizar y detectar ataques de fuerza bruta: la detección temprana de múltiples fallos de ejecución de aplicaciones en un corto período de tiempo puede indicar un intento de ataque. Es importante que el sistema esté preparado para responder adecuadamente, ya sea alertando a los administradores de seguridad o bloqueando el acceso del atacante.

Conclusiones

El ASLR es una medida eficaz para mitigar ciertos ataques de corrupción de memoria al hacer impredecibles las direcciones de los procesos y bibliotecas en la memoria, dificultando así los intentos de los atacantes de explotar vulnerabilidades conocidas. Sin embargo, ASLR no es una solución definitiva y presenta limitaciones. De hecho, no puede proteger contra todos los ataques de escritura fuera de límites, donde los atacantes pueden manipular datos adyacentes sin necesidad de conocer direcciones de memoria específicas. Además, hay técnicas de bypass que pueden anular la aleatorización, como los ataques de fuerza bruta en sistemas con baja entropía o explotaciones que aprovechan fugas de información.

Para fortalecer la seguridad, es crucial complementar ASLR con otras medidas defensivas. Una de ellas es el uso de canarios en la pila (stack canaries), que actúan como valores centinelas para detectar desbordamientos de buffer antes de que se produzca una corrupción significativa de la memoria. Otras técnicas, como la prevención de ejecución de datos (DEP) y el control de flujo de ejecución (CFG), ayudan a prevenir la ejecución de código no autorizado y a dificultar el control del flujo de ejecución por parte de un atacante. En conjunto, estas medidas de seguridad forman parte de una estrategia de defensa en profundidad que es esencial para proteger los sistemas contra una amplia gama de ataques y técnicas de explotación.

Etiquetas