Ils ont lancé une attaque qui permet la détection à distance de fragments de mémoire

Darkcrizt

Minutes 4

Un groupe de chercheurs de l'Université de technologie de Graz (Autriche), anciennement connu pour développer des attaques MDS, NetSpectre, Throwhammer et ZombieLoad, fait connaître Il ya quelques jours une nouvelle méthode d'attaque (CVE-2021-3714) qui, via des canaux latéraux au mécanisme de déduplication des pages mémoire, peut déterminer la présence de certaines données en mémoire, organiser une fuite d'octets du contenu de la mémoire ou déterminer la disposition de la mémoire pour contourner la protection basée sur la randomisation des adresses (ASLR).

La nouvelle méthode diffère des variantes d'attaques au mécanisme de déduplication précédemment démontré lors de la réalisation d'une attaque à partir d'un hôte externe en utilisant comme critère pour modifier le temps de réponse aux requêtes envoyées par l'attaquant via les protocoles HTTP/1 et HTTP/2. L'attaque a été démontrée pour les serveurs Linux et Windows.

Les attaques de déduplication de mémoire exploitent la différence de temps de traitement d'une opération d'écriture comme canal de fuite d'informations dans des situations où les modifications de données conduisent au clonage d'une page de mémoire dédupliquée à l'aide du mécanisme de copie sur écriture (COW).

Dans le processus, le noyau détermine les mêmes pages mémoire de différents processus et les combine, mapper des pages de mémoire identiques dans une zone de mémoire physique pour ne stocker qu'une seule copie. Lorsqu'un des processus essaie de modifier les données associées aux pages dédupliquées, une exception est levée (erreur de page) et, à l'aide du mécanisme de copie sur écriture, une copie distincte de la page mémoire est automatiquement créée, qui est allouée au processus qui passe le plus de temps à copier, ce qui peut être le signe que les données changent chevauche un autre processus.

Les chercheurs ont montré que les retards qui en résultent du mécanisme COW peut être capturé non seulement localement, mais aussi en analysant l'évolution du délai de livraison des réponses sur le réseau.

Forts de ces informations, les chercheurs ont proposé plusieurs méthodes pour déterminer le contenu de la mémoire à partir d'un hôte distant en analysant le temps d'exécution des requêtes via les protocoles HTTP/1 et HTTP/2. Pour enregistrer les modèles sélectionnés, des applications Web typiques sont utilisées qui stockent les informations reçues dans les demandes en mémoire.

Le principe général de l'attaque se résume à remplir une page mémoire sur le serveur avec des données qui dupliquent potentiellement le contenu d'une page mémoire déjà sur le serveur. Alors, l'attaquant attend le temps que le noyau se déduplique et fusionner la page mémoire, puis modifier les données dupliquées contrôlées et estime le temps de réponse pour déterminer si le succès a été réussi.

Au cours des expérimentations réalisées, le taux de fuite d'informations maximal était de 34,41 octets par heure pour une attaque sur le WAN et de 302,16 octets par heure pour une attaque sur un réseau local, ce qui est plus rapide que les autres méthodes d'extraction de données par canal latéral. (Par exemple, dans l'attaque NetSpectre, le taux de transfert de données est de 7,5 octets par heure).

Trois variantes du travail d'attaque sont proposées :

  1. La première option permet de définir des données dans la mémoire du serveur web où Memcached est utilisé. L'attaque se résume au chargement de certains ensembles de données dans le stockage Memcached, à la suppression d'un bloc dédupliqué, à la réécriture du même élément et à la création d'une condition pour qu'une copie COW se produise lorsque le contenu du bloc change.
  2. La deuxième option autorisée connaître le contenu des registres dans le SGBD MariaDB, lors de l'utilisation du stockage InnoDB, recréer le contenu octet par octet. L'attaque est effectuée en envoyant des requêtes spécialement modifiées, en générant des discordances d'un octet dans les pages mémoire et en analysant le temps de réponse pour déterminer que l'hypothèse concernant le contenu de l'octet était correcte. Le taux d'une telle fuite est faible et s'élève à 1,5 octet par heure lors d'une attaque à partir d'un réseau local.
  3. La troisième option autorisée contourner complètement le mécanisme de protection KASLR en 4 minutes et obtenir des informations sur le décalage dans la mémoire de l'image du noyau de la machine virtuelle, dans une situation où l'adresse de décalage est dans une page mémoire, d'autres données dans lesquelles elle ne change pas.

Enfin, si vous souhaitez en savoir plus, vous pouvez consulter le détails dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.