FALE CONOSCO

[BLOG] Série Especial “Entendendo os Ataques Cibernéticos”

DEP (Data Execution Prevention): Uma Barreira Contra a Execução de Código Malicioso

Data: 30 de setembro de 2025

Introdução

 

A Prevenção de Execução de Dados (DEP – Data Execution Prevention) é uma tecnologia de segurança fundamental em sistemas operacionais modernos, projetada para impedir que código seja executado a partir de regiões de memória destinadas apenas a dados.

O recurso surgiu no Windows XP SP2 (2004), em resposta a uma série de ataques devastadores da época (como os worms Blaster e Sasser), que exploravam falhas de buffer overflow para injetar e executar código arbitrário. Desde então, tornou-se parte essencial da segurança em Windows, Linux e outros sistemas.

Neste artigo, exploramos:

  • Como o DEP funciona na prática.
  • Diferenças entre implementação de hardware e software.
  • Como ele ajuda a mitigar ataques de memória.

As técnicas mais comuns usadas por invasores para contornar essa proteção

É uma técnica moderna?

 

Sim, em termos de relevância:

  • Ainda hoje, DEP é habilitado por padrão em Windows, Linux e macOS.
  • Continua sendo listado em frameworks modernos de segurança e guias de endurecimento de sistemas.
  • Faz parte do conjunto de proteções base (baseline mitigations) que tornam ataques de injeção de código muito mais difíceis.

Não, em termos de inovação:

  • O conceito em si já tem mais de 20 anos.
  • É considerado uma mitigação “fundacional” (legacy but essential), que abriu caminho para técnicas mais modernas, como:
    • ASLR (Address Space Layout Randomization)
    • CFG (Control Flow Guard)
    • CET (Control-flow Enforcement Technology, Intel, 2020+)

Como o DEP funciona na prática

 

O princípio é simples: marcar áreas da memória como não-executáveis. Assim, qualquer tentativa de rodar código nessas áreas resulta em uma exceção de acesso inválido, encerrando o processo.

Áreas normalmente protegidas incluem:

  • Heap (alocação dinâmica de memória).
  • Stack (pilha) (armazenamento de variáveis locais e endereços de retorno).
  • Pools de memória usados pelo sistema e aplicações.

DEP de hardware vs. DEP de software

 

O DEP pode operar de duas formas principais:

  • DEP de hardware
    • Usa recursos do processador, como No-Execute (NX) ou Execute-Disable (XD).
    • É mais seguro e eficiente, pois a marcação de memória é feita diretamente pelo hardware.
  • DEP de software
    • Implementado pelo sistema operacional.
    • Mais limitado: foca em verificar uso suspeito de exceções.
    • Aplica-se mesmo sem suporte de hardware, mas oferece menos proteção.

Em sistemas Windows modernos, o DEP geralmente já vem habilitado por padrão, mas ainda é possível que softwares legados o desabilitem, abrindo riscos de segurança.

Por que o DEP é importante contra exploits

 

O DEP é crucial na mitigação de ataques baseados em corrupção de memória, como:

  • Buffer Overflow
    • Invasor injeta código em uma área de memória e tenta desviar a execução para lá.
    • O DEP bloqueia a execução por marcar a área como não-executável.
  • Heap Spraying
    • Invasor “enche” o heap com código malicioso, esperando que algum ponteiro corrompido aponte para ele.
    • O DEP impede a execução, mesmo que o ponteiro seja desviado.

Em resumo: o DEP não corrige a falha de programação, mas adiciona uma camada de proteção crítica que transforma muitas falhas graves em falhas inexploráveis.

Como atacantes tentam contornar o DEP

 

Embora poderoso, o DEP não é uma barreira absoluta. Atacantes desenvolveram técnicas de bypass, como:

  • Return-Oriented Programming (ROP)
    • Encadeia pequenos trechos de código já existentes na aplicação (os “gadgets”).
    • Como o ROP usa apenas código marcado como executável, o DEP não consegue bloqueá-lo.
  • Ret2libc
    • Redireciona a execução para funções da biblioteca padrão C (como system()), permitindo comandos maliciosos.
    • Essas funções estão em áreas legítimas e executáveis, não afetadas pelo DEP.
  • Alteração de permissões de memória
    • Invasores exploram funções como VirtualProtect() (Windows) ou mprotect() (Linux) para marcar regiões de memória como executáveis.

Se obtêm esse controle, conseguem reativar o vetor original de ataque.

DEP e outras camadas de defesa

 

O DEP é mais eficaz quando combinado com outras técnicas modernas:

  • ASLR (Address Space Layout Randomization) – embaralha os endereços de memória, dificultando que invasores encontrem gadgets para ataques ROP.
  • CFG (Control Flow Guard) – introduzido em versões mais recentes do Windows, ajuda a bloquear fluxos de execução não autorizados.
  • Stack Canaries e SafeSEH – reforçam a proteção contra buffer overflows.

Sempre deve-se combine DEP, ASLR e CFG para aumentar a resiliência contra exploits modernos.

Como a [ CYLO ] pode ajudar?

 

O DEP (Data Execution Prevention) é uma mitigação nativa do sistema operacional (Windows, Linux, macOS) e do hardware (bit NX/XD). Ele impede a execução de código em regiões de memória marcadas como não executáveis.

Mas, além das proteções nativas oferecidas pelo DEP no sistema operacional e no hardware, a [CYLO] juntamente com o Cortex XSIAM da Palo Alto Networks oferecem uma camada adicional de visibilidade e resposta contra ataques que tentam contornar essa mitigação. O sistema coleta telemetria detalhada do endpoint por meio do agente Cortex XDR, monitorando chamadas de API críticas (como VirtualProtect ou NtProtectVirtualMemory) e padrões de execução associados a técnicas de bypass, incluindo Return-Oriented Programming (ROP) e ret2libc. Esses comportamentos suspeitos são correlacionados a regras analíticas alinhadas à matriz MITRE ATT&CK, permitindo identificar rapidamente tentativas de exploração mesmo quando o DEP falha em impedir a execução.

Mais do que detectar, o Cortex XSIAM integra-se a fluxos de resposta automatizados que podem isolar o host comprometido, encerrar processos maliciosos, bloquear indicadores de comprometimento e aplicar regras adicionais de contenção. Essa abordagem garante que uma simples tentativa de evasão ao DEP não passe despercebida, fornecendo uma defesa em profundidade contra ataques de corrupção de memória. Assim, o DEP funciona como uma barreira técnica essencial, enquanto o Cortex XSIAM amplia a resiliência corporativa ao transformar sinais de exploração em alertas acionáveis e respostas rápidas.

Conclusão

 

O DEP é uma barreira essencial na defesa contra execução de código malicioso em sistemas operacionais modernos. Embora não seja uma solução infalível, aumenta significativamente a dificuldade de exploração de falhas de memória, obrigando invasores a recorrer a técnicas mais complexas, como ROP.

Ao compreender seu funcionamento e limitações — e ao usá-lo em conjunto com outras mitigações — desenvolvedores e profissionais de segurança conseguem construir sistemas mais resilientes contra ataques cibernéticos.

Referências

 

[1] Microsoft. (2023). Data Execution Prevention. Microsoft Learn. https://learn.microsoft.com/en-us/windows/win32/memory/data-execution-prevention
[2] Li, V. (2020). Data Execution Prevention. Vickie Li’s Security Blog. https://vickieli.dev/binary%20exploitation/data-execution-prevention/

 

logo (1)

Acompanhe nosso trabalho
nas redes sociais!

Instagram Linkedin

[MATRIZ]

Av. Romeu Strazzi, 325 - Vila Sinibaldi, São José do Rio Preto - SP​

[CONTATO]

Regiões metropolitanas:
4864-1600

Demais localidades:
(011) 4085-0101

E-mail: comercial@cylo.com.br​

[TRABALHE CONOSCO]​

E-mail: rh@cylo.com.br​

© 2023 CYLO. Desenvolvido por p9.digital. Conheça nossas
Política de Ética e Privacidade e Política de Cookies.​

Scroll to Top