Kerentanan overflow integer baru ditemukan dalam mekanisme keamanan referensi bahasa Move

Baru-baru ini, saat melakukan penelitian mendalam terhadap bahasa Move, kami menemukan celah overflow integer yang baru. Celah ini muncul selama proses verifikasi keamanan referensi, yang melibatkan beberapa mekanisme inti dari bahasa Move. Dengan menganalisis celah ini, kami dapat memahami lebih dalam tentang desain dan implementasi bahasa Move.

Proses Verifikasi Bahasa Move

Bahasa Move akan memverifikasi unit kode sebelum mengeksekusi bytecode, dan proses ini dibagi menjadi 4 langkah. Kerentanan yang ditemukan kali ini terjadi pada langkah reference_safety.

modul reference_safety mendefinisikan fungsi inti yang digunakan untuk memverifikasi keamanan referensi. Ini terutama memeriksa apakah ada referensi yang mengambang, apakah akses referensi yang dapat diubah aman, dan apakah akses referensi penyimpanan global aman, dan masalah lainnya.

Fungsi masuk dari proses verifikasi akan memanggil analyze_function untuk menganalisis setiap fungsi. analyze_function akan memverifikasi setiap blok dasar dalam fungsi. Blok dasar adalah urutan kode yang tidak memiliki instruksi cabang kecuali untuk masuk dan keluar.

Keamanan Referensi dalam Bahasa Move

Bahasa Move mendukung dua jenis referensi: referensi tidak dapat diubah (&) dan referensi dapat diubah (&mut). Referensi tidak dapat diubah digunakan untuk membaca data, sedangkan referensi dapat diubah digunakan untuk memodifikasi data. Desain ini membantu meningkatkan keamanan dan keterbacaan kode.

Modul verifikasi keamanan akan memindai instruksi bytecode setiap blok dasar dalam fungsi, menilai apakah semua operasi referensi sah. Proses verifikasi terutama mencakup:

1. Menjalankan kode blok dasar
2. Status sebelum dan sesudah eksekusi digabung
3. Memperbarui status blok
4. Menyebarkan kondisi pasca ke blok berikutnya

Proses ini mirip dengan pemikiran Sea of Nodes dalam V8 turbofan.

Analisis Kerentanan

Kerentanan muncul selama proses penggabungan status sebelum dan sesudah eksekusi. Ketika panjang parameter fungsi ditambah dengan panjang variabel lokal melebihi 256, penggunaan tipe u8 untuk merepresentasikan indeks variabel lokal dapat menyebabkan overflow integer.

Meskipun bahasa Move memiliki proses untuk memverifikasi jumlah variabel lokal, pemeriksaan ini tidak mencakup panjang parameter. Para pengembang tampaknya menyadari perlunya memeriksa jumlah total parameter dan variabel lokal, namun dalam kode nyata hanya jumlah variabel lokal yang diperiksa.

Overflow ini dapat menyebabkan serangan penolakan layanan ( DoS ). Penyerang dapat membangun blok kode berulang yang memanfaatkan overflow untuk mengubah status blok. Ketika blok dasar dieksekusi lagi, jika indeks yang perlu diakses oleh instruksi tidak ada dalam status baru, maka akan menyebabkan program crash.

Eksploitasi Kerentanan

Kami telah membangun bukti konsep ( PoC ) untuk mendemonstrasikan kerentanan ini:

1. Buat blok dasar yang berisi instruksi percabangan tak bersyarat, sehingga dapat dieksekusi berulang kali.
2. Atur jumlah parameter dan variabel lokal menjadi 264, menyebabkan panjang pemetaan variabel lokal baru meluap menjadi 8.
3. Saat menjalankan blok dasar lagi, mencoba mengakses indeks variabel lokal yang tidak ada, menyebabkan panic.

Kesimpulan

Kelemahan ini sekali lagi membuktikan bahwa tidak ada kode yang sepenuhnya aman. Meskipun bahasa Move melakukan pemeriksaan statis sebelum eksekusi, masih mungkin untuk dilewati oleh kerentanan overflow integer.

Untuk pengembangan masa depan bahasa Move, kami menyarankan:

1. Tambahkan lebih banyak kode pemeriksaan saat menjalankan untuk mencegah situasi yang tidak terduga.
2. Jangan hanya bergantung pada pemeriksaan keamanan di fase verifikasi, tetapi juga harus melakukan penguatan keamanan di fase operasi.

Sebagai pelopor penelitian keamanan bahasa Move, kami akan terus mendalami masalah keamanan Move dan memberikan kontribusi bagi perkembangannya.