À la conférence NDSS 2025, Hengkai Ye et Hong Hu de The Pennsylvania State University ont présenté un article sur des vulnérabilités subtiles dans les systèmes Linux qui réintroduisent des piles exécutables. Leur travail met en lumière comment les développeurs, y compris les experts en sécurité, désactivent accidentellement les protections contre les attaques par injection de code. L'étude examine les outils et composants système pour révéler les lacunes dans l'application des politiques écriture-xor-exécution.
L'article, intitulé 'Too Subtle to Notice: Investigating Executable Stack Issues in Linux Systems', a été présenté lors de la session 6D sur la sécurité logicielle : détection de vulnérabilités au Symposium on Network and Distributed System Security (NDSS) 2025. Historiquement, l'injection de code via des débordements de tampon était un vecteur d'attaque courant, mais l'adoption des protections écriture-xor-exécution (W^X) a en grande partie empêché la mémoire accessible en écriture et exécution, atténuant ces menaces.
Malgré ces avancées, les chercheurs ont identifié des cas récurrents où les développeurs de logiciels désactivent involontairement W^X, restaurant des piles exécutables dans des applications populaires. Chaque cas a été corrigé, mais le schéma persiste dans le développement moderne. Pour explorer cela, Ye et Hu ont mené deux enquêtes clés. Premièrement, ils ont évalué les outils de durcissement de programmes, découvrant que même les développeurs de sécurité expérimentés omettent souvent des étapes critiques pour prévenir les piles exécutables. Notamment, 11 outils implémentés comme des moniteurs de référence en ligne (IRM) ont introduit des piles exécutables dans toutes les applications 'durcies'.
Deuxièmement, l'étude a analysé l'application de W^X à travers la chaîne de compilation Linux, le noyau et le chargeur. Ce processus exige une coordination étroite entre plusieurs composants, formant une chaîne de confiance complexe pour la protection de la pile. Un oubli fréquent se produit lorsque les développeurs, y compris les chercheurs en sécurité, négligent la section GNU-stack dans le code assembleur, activant involontairement des piles exécutables.
Les résultats esquissent des chemins d'exploitation potentiels pour les attaquants et proposent des recommandations de mitigation pour renforcer les pratiques de sécurité Linux. NDSS, qui promeut des avancées pratiques en sécurité des réseaux et systèmes distribués, a accueilli la présentation pour favoriser une meilleure implémentation des technologies de sécurité.
