Un grup de investigadors de la Universitat Tecnològica de Graz (Àustria), anteriorment coneguda per desenvolupar atacs MDS, NetSpectre, Throwhammer i ZombieLoad, van donar a conèixer fa pocs dies un nou mètode d'atac (CVE-2021-3714) el qual a través de canals laterals al mecanisme de deduplicació de la pàgina de memòria poden determinar la presència de certes dades a la memòria, organitzar una fuita de bytes del contingut de la memòria o determinar el disseny de la memòria per ometre la protecció basada en l'aleatorització d'adreces (ASLR).
El nou mètode es diferencia de les variants d'atacs al mecanisme de deduplicació demostrades anteriorment en dur a terme un atac des d'un host extern utilitzant com a criteri per canviar el temps de resposta a les sol·licituds enviades per l'atacant a través dels protocols HTTP/1 i HTTP/2. L'atac es va demostrar per a servidors Linux i Windows.
Els atacs de deduplicació de memòria aprofiten la diferència en el temps de processament d'una operació d'escriptura com a canal per a la fuga d'informació en situacions en què els canvis de dades condueixen al clonatge d'una pàgina de memòria deduplicada mitjançant el mecanisme de còpia en escriptura (COW).
En el procés, el kernel determina les mateixes pàgines de memòria de diferents processos i les combina, mapejant pàgines de memòria idèntiques en una àrea de la memòria física per emmagatzemar només una còpia. Quan un dels processos intenta canviar les dades associades amb les pàgines deduplicades, es genera una excepció (error de pàgina) i, mitjançant el mecanisme de còpia en escriptura, es crea automàticament una còpia separada de la pàgina de memòria, que s'assigna al procés al qual es dedica més temps a la còpia, cosa que pot ser un senyal de que el canvi de dades se superposa amb un altre procés.
Els investigadors han demostrat que les demores resultants del mecanisme COW poden capturar-se no només localment, sinó també analitzant el canvi en el temps de lliurament de les respostes a través de la xarxa.
Amb aquesta informació, els investigadors han proposat diversos mètodes per determinar el contingut de la memòria des d'un host remot mitjançant lanàlisi del temps dexecució de les sol· licituds a través dels protocols HTTP/1 i HTTP/2. Per desar les plantilles seleccionades s'utilitzen aplicacions web típiques que emmagatzemen en memòria la informació rebuda a les sol·licituds.
El principi general de l'atac es redueix a omplir una pàgina de memòria al servidor amb dades que potencialment dupliquen el contingut d'una pàgina de memòria que ja és al servidor. Després, l'atacant espera el temps que triga el kernel a deduplicar i fusionar la pàgina de memòria, després modifica les dades duplicades controlades i estima el temps de resposta per determinar si lèxit va ser reeixit.
En el transcurs dels experiments realitzats, la taxa màxima de fugida d'informació va ser de 34,41 bytes per hora per a un atac sobre la WAN i 302,16 bytes per hora per a un atac sobre una xarxa local, que és més ràpid que altres mètodes dextracció de dades per canals laterals. (per exemple, a l'atac de NetSpectre, la taxa de transferència de dades és de 7,5 bytes per hora).
Es proposen tres variants de treball de l'atac:
- La primera opció permet definir dades a la memòria del servidor web on s'utilitza Memcached. L'atac es redueix a carregar certs conjunts de dades a l'emmagatzematge Memcached, esborrar un bloc deduplicat, reescriure el mateix element i crear una condició perquè passi una còpia COW en canviar el contingut del bloc.
- La segona opció va permetre conèixer el contingut dels registres al DBMS MariaDB, quan s'utilitza l'emmagatzematge InnoDB, recreant el contingut byte a byte. L'atac es duu a terme mitjançant l'enviament de sol·licituds especialment modificades, cosa que genera desajustos d'un byte a les pàgines de memòria i analitza el temps de resposta per determinar que la suposició sobre el contingut del byte era correcta. La taxa de tal fugida és baixa i puja a 1,5 bytes per hora quan s'ataca des d'una xarxa local.
- La tercera opció va permetre ometre per complet el mecanisme de protecció KASLR en 4 minuts i obtenir informació sobre el desplaçament a la memòria de la imatge del nucli de la màquina virtual, en una situació en què l'adreça de desplaçament està en una pàgina de memòria, altres dades en què no canvio.
Finalment si estàs interessat en conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.