Na conferência NDSS 2025, Hengkai Ye e Hong Hu da The Pennsylvania State University apresentaram um artigo sobre vulnerabilidades sutis em sistemas Linux que reintroduzem pilhas executáveis. Seu trabalho destaca como desenvolvedores, incluindo especialistas em segurança, desativam acidentalmente proteções contra ataques de injeção de código. O estudo examina ferramentas e componentes do sistema para revelar lacunas na aplicação de políticas de escrita-xor-execução.
O artigo, intitulado 'Too Subtle to Notice: Investigating Executable Stack Issues in Linux Systems', foi apresentado na Sessão 6D sobre Segurança de Software: Detecção de Vulnerabilidades durante o Simpósio de Segurança de Sistemas e Redes Distribuídos (NDSS) 2025. Historicamente, a injeção de código via estouros de buffer era um vetor de ataque comum, mas a adoção de proteções de escrita-xor-execução (W^X) impediu em grande parte a memória gravável-e-executável, mitigando tais ameaças.
Apesar desses avanços, os pesquisadores identificaram casos recorrentes em que desenvolvedores de software desativam inadvertidamente o W^X, restaurando pilhas executáveis em aplicativos populares. Cada caso foi corrigido, mas o padrão persiste no desenvolvimento moderno. Para explorar isso, Ye e Hu realizaram duas investigações principais. Primeiro, avaliaram ferramentas de endurecimento de programas, descobrindo que até desenvolvedores de segurança experientes frequentemente perdem etapas críticas para prevenir pilhas executáveis. Notavelmente, 11 ferramentas implementadas como monitores de referência inline (IRMs) introduziram pilhas executáveis em todos os aplicativos 'endurecidos'.
Segundo, o estudo analisou a aplicação do W^X na cadeia de compilação do Linux, kernel e carregador. Esse processo exige coordenação rigorosa entre múltiplos componentes, formando uma cadeia de confiança complexa para a proteção da pilha. Um descuido frequente ocorre quando desenvolvedores, incluindo pesquisadores de segurança, negligenciam a seção GNU-stack no código assembly, ativando inadvertidamente pilhas executáveis.
As descobertas delineiam caminhos potenciais de exploração por atacantes e oferecem recomendações de mitigação para fortalecer as práticas de segurança do Linux. O NDSS, que promove avanços práticos em segurança de redes e sistemas distribuídos, sediou a apresentação para fomentar uma melhor implementação de tecnologias de segurança.
