En la conferencia NDSS 2025, Hengkai Ye y Hong Hu de The Pennsylvania State University presentaron un artículo sobre vulnerabilidades sutiles en sistemas Linux que reintroducen pilas ejecutables. Su trabajo destaca cómo los desarrolladores, incluidos expertos en seguridad, desactivan accidentalmente las protecciones contra ataques de inyección de código. El estudio examina herramientas y componentes del sistema para revelar lagunas en la aplicación de políticas de escritura-xor-ejecución.
El artículo, titulado 'Too Subtle to Notice: Investigating Executable Stack Issues in Linux Systems', se presentó en la Sesión 6D sobre Seguridad de Software: Detección de Vulnerabilidades durante el Simposio de Seguridad de Sistemas y Redes Distribuidos (NDSS) 2025. Históricamente, la inyección de código mediante desbordamientos de búfer era un vector de ataque común, pero la adopción de protecciones de escritura-xor-ejecución (W^X) evitó en gran medida la memoria writable-y-ejecutable, mitigando tales amenazas.
A pesar de estos avances, los investigadores identificaron casos recurrentes en los que los desarrolladores de software desactivan inadvertidamente W^X, restaurando pilas ejecutables en aplicaciones populares. Cada caso ha sido parcheado, pero el patrón persiste en el desarrollo moderno. Para explorar esto, Ye y Hu realizaron dos investigaciones clave. Primero, evaluaron herramientas de endurecimiento de programas y descubrieron que incluso desarrolladores de seguridad experimentados a menudo omiten pasos críticos para prevenir pilas ejecutables. Notablemente, 11 herramientas implementadas como monitores de referencia en línea (IRM) introdujeron pilas ejecutables en todas las aplicaciones 'endurecidas'.
Segundo, el estudio analizó la aplicación de W^X en la cadena de compilación de Linux, el kernel y el cargador. Este proceso exige una coordinación estricta entre múltiples componentes, formando una cadena de confianza compleja para la protección de la pila. Un descuido frecuente ocurre cuando los desarrolladores, incluidos investigadores de seguridad, omiten la sección GNU-stack en el código ensamblador, habilitando inadvertidamente pilas ejecutables.
Los hallazgos delinean posibles caminos de explotación para atacantes y ofrecen recomendaciones de mitigación para fortalecer las prácticas de seguridad de Linux. NDSS, que promueve avances prácticos en seguridad de redes y sistemas distribuidos, albergó la presentación para fomentar una mejor implementación de tecnologías de seguridad.
