BFi14-dev-05 RELEASED
title: VSYSCALL PAGE HIJACKING
author: sbudella
rel-date: 2007.09.08
read online: http://www.s0ftpj.org/bfi/dev/BFi14-dev-05
download: http://www.s0ftpj.org/bfi/dev/BFi14-dev-05
language: italiano
description:
Tra le tante nuove feature introdotte nel kernel Linux 2.6, vi e'
l'accoppiata di istruzioni sysenter/sysexit che permettono di
effettuare richieste da User Mode a Kernel Mode in maniera piu'
efficiente e veloce rispetto alla loro controparte int/ret.
Questo articolo illustra una nuova tecnica che consiste nello
sfruttare questa caratteristica del kernel, permettendo ad un
eventuale attaccante di intercettare e dirottare le syscall e di
modificare il loro comportamento senza manipolare affatto la syscall
table, o ricorrere a salti nel mezzo delle funzioni. La strada
seguita offre meritevoli spunti sulla possibilita' di realizzare
degli hook user/kernel space concettualmente ibridi.
--
BFi staff
http://bfi.s0ftpj.org