Grupa od istraživači sa Univerziteta za tehnologiju u Grazu (Austrija), ranije poznat po razvoju MDS, NetSpectre, Throwhammer i ZombieLoad napada, obznanio Prije nekoliko dana nova metoda napada (CVE-2021-3714) koji kroz kanale na strani mehanizma deduplikacije memorijske stranice može utvrditi prisustvo određenih podataka u memoriji, organizirati curenje bajtova memorijskog sadržaja ili odrediti raspored memorije kako bi se zaobišla zaštita na temelju nasumične adrese (ASLR).
Nova metoda razlikuje se od varijanti napada na mehanizam deduplikacije prethodno demonstrirano prilikom izvođenja napada sa eksternog hosta koristeći kao kriterijum za promjenu vremena odgovora na zahtjeve koje napadač šalje preko HTTP / 1 i HTTP / 2 protokola. Napad je demonstriran za Linux i Windows servere.
Napadi deduplikacije memorije iskorištavaju razliku u vremenu obrade operacije pisanja kao kanal za curenje informacija u situacijama kada promjene podataka dovode do kloniranja deduplicirane memorijske stranice korištenjem mehanizma kopiranja pri pisanju (COW).
U tom procesu, kernel određuje iste memorijske stranice različitih procesa i kombinuje ih, mapiranje identičnih memorijskih stranica u područje fizičke memorije za pohranu samo jedne kopije. Kada jedan od procesa pokuša promijeniti podatke povezane s dedupliciranim stranicama, izbacuje se izuzetak (greška stranice) i pomoću mehanizma copy-on-write automatski se kreira posebna kopija memorijske stranice, koja se dodjeljuje procesu koji troši najviše vremena na kopiranje, što može biti znak da se podaci mijenjaju preklapa sa drugim procesom.
Istraživači su pokazali da su nastala kašnjenja mehanizma COW može se uhvatiti ne samo lokalno, već i analizom promjene vremena isporuke odgovora preko mreže.
Sa ovim informacijama istraživači su predložili nekoliko metoda za određivanje sadržaja memorije sa udaljenog hosta analizom vremena izvršenja zahtjeva putem HTTP / 1 i HTTP / 2 protokola. Za čuvanje odabranih šablona koriste se tipične web aplikacije koje pohranjuju primljene informacije u zahtjevima u memoriju.
Opšti princip napada svodi se na popunjavanje memorijske stranice na serveru sa podacima koji potencijalno dupliraju sadržaj memorijske stranice koja se već nalazi na serveru. kasnije, napadač čeka vreme potrebno da se kernel deduplicira i spoji memorijsku stranicu, zatim modificirajte kontrolirane duplikate podataka i procjenjuje vrijeme odgovora kako bi se utvrdilo da li je uspjeh bio uspješan.
U toku sprovedenih eksperimenata, maksimalna stopa curenja informacija iznosila je 34,41 bajta na sat za napad na WAN i 302,16 bajta na sat za napad na lokalnu mrežu, što je brže od ostalih metoda ekstrakcije podataka bočnog kanala. (Na primjer, u NetSpectre napadu, brzina prijenosa podataka je 7,5 bajtova na sat).
Predlažu se tri varijante napada:
- Prva opcija omogućava vam da definirate podatke u memoriji web servera u kojem se koristi Memcached. Napad se svodi na učitavanje određenih skupova podataka u Memcached memoriju, brisanje dedupliciranog bloka, ponovno pisanje istog elementa i stvaranje uslova za COW kopiju kada se promijeni sadržaj bloka.
- Druga opcija je dozvoljena znati sadržaj registara u DBMS MariaDB, kada koristite InnoDB skladište, ponovno kreiranje sadržaja bajt po bajt. Napad se izvodi slanjem posebno modificiranih zahtjeva, generiranjem jednobajtnih nepodudaranja na memorijskim stranicama i analizom vremena odgovora kako bi se utvrdilo da je pretpostavka o sadržaju bajta bila tačna. Brzina takvog curenja je niska i iznosi 1,5 bajtova na sat kada se napada iz lokalne mreže.
- Treća opcija je dozvoljena potpuno zaobići KASLR zaštitni mehanizam za 4 minuta i dobijete informaciju o ofsetu u memoriji slike kernela virtuelne mašine, u situaciji kada je ofset adresa na memorijskoj stranici, druge podatke u kojima se ne menja.
Konačno, ako ste zainteresirani da saznate više o tome, možete se obratiti detalje na sljedećem linku.