Eine Gruppe von Forscher der Technischen Universität Graz (Österreich), früher bekannt für die Entwicklung von MDS-, NetSpectre-, Throwhammer- und ZombieLoad-Angriffen, bekannt gemacht Vor ein paar Tagen eine neue Angriffsmethode (CVE-2021-3714) die über Kanäle seitlich zum Speicherseiten-Deduplizierungsmechanismus das Vorhandensein bestimmter Daten im Speicher bestimmen, ein Byteleck von Speicherinhalten organisieren oder das Speicherlayout bestimmen können, um den Schutz basierend auf Adressrandomisierung (ASLR) zu umgehen.
Die neue Methode unterscheidet sich von Angriffsvarianten bis hin zum Deduplizierungsmechanismus zuvor bei der Durchführung eines Angriffs von einem externen Host gezeigt, der als Kriterium verwendet wurde, um die Antwortzeit auf Anforderungen zu ändern, die vom Angreifer über die Protokolle HTTP / 1 und HTTP / 2 gesendet wurden. Der Angriff wurde für Linux- und Windows-Server demonstriert.
Speicherdeduplizierungsangriffe nutzen den Unterschied in der Verarbeitungszeit eines Schreibvorgangs als Kanal für Informationsverluste in Situationen, in denen Datenänderungen zum Klonen einer deduplizierten Speicherseite mithilfe des Kopiermechanismus beim Schreiben (COW) führen.
Dabei ermittelt der Kernel die gleichen Speicherseiten verschiedener Prozesse und kombiniert sie, Mapping identischer Speicherseiten in einen Bereich des physischen Speichers, um nur eine Kopie zu speichern. Wenn einer der Prozesse versucht, die mit den deduplizierten Seiten verknüpften Daten zu ändern, wird eine Ausnahme ausgelöst (Seitenfehler) und mit dem Copy-on-Write-Mechanismus wird automatisch eine separate Kopie der Speicherseite erstellt, die dem Prozess zugeordnet wird, der die meiste Zeit zum Kopieren benötigt, was ein Zeichen dafür sein kann, dass sich die Datenänderung überlappt mit einem anderen Verfahren.
Forscher haben gezeigt, dass die daraus resultierenden Verzögerungen des COW-Mechanismus kann nicht nur lokal erfasst werden, sondern auch durch die Analyse der Änderung der Lieferzeit von Antworten über das Netzwerk.
Mit diesen Informationen haben die Forscher haben mehrere Methoden vorgeschlagen, um den Inhalt des Speichers von einem entfernten Host zu bestimmen durch Analyse der Ausführungszeit von Anfragen über die Protokolle HTTP / 1 und HTTP / 2. Um die ausgewählten Vorlagen zu speichern, werden typische Webanwendungen verwendet, die die in den Anfragen empfangenen Informationen im Speicher ablegen.
Das allgemeine Prinzip des Angriffs läuft darauf hinaus, eine Speicherseite auf dem Server zu füllen mit Daten, die möglicherweise den Inhalt einer bereits auf dem Server vorhandenen Speicherseite duplizieren. Später, Der Angreifer wartet auf die Zeit, die der Kernel benötigt, um die Duplizierung durchzuführen und die Speicherseite zusammenführen, dann ändern Sie die kontrollierten doppelten Daten und schätzt die Reaktionszeit, um festzustellen, ob der Erfolg erfolgreich war.
Im Verlauf der durchgeführten Experimente betrug die maximale Informationsverlustrate 34,41 Byte pro Stunde bei einem Angriff auf das WAN und 302,16 Byte pro Stunde bei einem Angriff auf ein lokales Netzwerk, was schneller ist als andere Seitenkanal-Datenextraktionsverfahren. (Zum Beispiel beträgt die Datenübertragungsrate beim NetSpectre-Angriff 7,5 Byte pro Stunde).
Drei Varianten der Angriffsarbeit werden vorgeschlagen:
- Die erste Option ermöglicht die Definition von Daten im Speicher des Webservers, in dem Memcached verwendet wird. Der Angriff läuft darauf hinaus, bestimmte Datensätze in den Memcached-Speicher zu laden, einen deduplizierten Block zu löschen, dasselbe Element neu zu schreiben und eine Bedingung für eine COW-Kopie zu schaffen, wenn sich der Inhalt des Blocks ändert.
- Die zweite Option erlaubt den Inhalt der Register im DBMS MariaDB kennen, bei Verwendung von InnoDB-Speicher den Inhalt Byte für Byte neu erstellen. Der Angriff wird ausgeführt, indem speziell modifizierte Anfragen gesendet, Ein-Byte-Mismatches in Speicherseiten erzeugt und die Antwortzeit analysiert wird, um festzustellen, ob die Annahme über den Inhalt des Bytes richtig war. Die Rate eines solchen Leaks ist gering und beträgt bei einem Angriff aus einem lokalen Netzwerk 1,5 Byte pro Stunde.
- Die dritte Option erlaubt den KASLR-Schutzmechanismus vollständig umgehen in 4 Minuten und erhalten Sie Informationen über den Offset im Speicher des Kernel-Image der virtuellen Maschine, in einer Situation, in der sich die Offset-Adresse in einer Speicherseite befindet, andere Daten, in denen sie sich nicht ändert.
Wenn Sie mehr darüber erfahren möchten, können Sie die Details im folgenden Link.