Группа исследователи из Технологического университета Граца (Австрия), ранее известен разработкой атак MDS, NetSpectre, Throwhammer и ZombieLoad, сделал известным Несколько дней назад новый метод атаки (CVE-2021-3714) который через каналы на стороне механизма дедупликации страниц памяти может определять наличие определенных данных в памяти, организовывать утечку байтов содержимого памяти или определять структуру памяти для обхода защиты на основе рандомизации адресов (ASLR).
Новый метод отличается от вариантов атак механизмом дедупликации ранее было продемонстрировано при проведении атаки с внешнего хоста с использованием в качестве критерия изменения времени ответа на запросы, отправленные злоумышленником по протоколам HTTP / 1 и HTTP / 2. Атака была продемонстрирована для серверов Linux и Windows.
Атаки дедупликации памяти используют разницу во времени обработки операции записи в качестве канала утечки информации в ситуациях, когда изменения данных приводят к клонированию дедуплицированной страницы памяти с использованием механизма копирования при записи (COW).
В процессе ядро определяет одинаковые страницы памяти различных процессов и объединяет ихотображение идентичных страниц памяти в область физической памяти для хранения только одной копии. Когда один из процессов пытается изменить данные, связанные с дедуплицированными страницами, выдается исключение. (ошибка страницы) и с использованием механизма копирования при записи автоматически создается отдельная копия страницы памяти, которая выделяется процессу, который тратит больше всего времени на копирование, что может быть признаком того, что изменение данных перекрывается с другим процессом.
Исследователи показали, что в результате задержки механизма коровы можно фиксировать не только локально, но и анализируя изменение времени доставки ответов по сети.
Обладая этой информацией, исследователи предложили несколько методов для определения содержимого памяти с удаленного хоста путем анализа времени выполнения запросов по протоколам HTTP / 1 и HTTP / 2. Для сохранения выбранных шаблонов используются типовые веб-приложения, хранящие информацию, полученную в запросах, в памяти.
Общий принцип атаки сводится к заполнению страницы памяти на сервере. с данными, которые потенциально дублируют содержимое страницы памяти, уже находящейся на сервере. Потом, злоумышленник ждет время, необходимое ядру для дедупликации и слить страницу памяти, затем измените контролируемые повторяющиеся данные и оценивает время отклика, чтобы определить, был ли успех успешным.
В ходе проведенных экспериментов максимальная скорость утечки информации составила 34,41 байта в час для атаки на WAN и 302,16 байта в час для атаки на локальную сеть, что быстрее, чем у других методов извлечения данных по побочным каналам. (Например, в атаке NetSpectre скорость передачи данных составляет 7,5 байта в час).
Предлагаются три варианта работы атаки:
- Первый вариант позволяет определять данные в памяти веб-сервера, на котором используется Memcached. Атака сводится к загрузке определенных наборов данных в хранилище Memcached, удалению дедуплицированного блока, перезаписи того же элемента и созданию условия для копирования COW при изменении содержимого блока.
- Второй вариант разрешен знать содержимое регистров в СУБД MariaDB, при использовании хранилища InnoDB, байтовое воссоздание содержимого. Атака осуществляется путем отправки специально модифицированных запросов, генерации однобайтовых несоответствий на страницах памяти и анализа времени ответа для определения правильности предположения о содержимом байта. Скорость такой утечки невелика и составляет 1,5 байта в час при атаке из локальной сети.
- Допускается третий вариант полностью обойти механизм защиты KASLR за 4 минуты и получите информацию о смещении в памяти образа ядра виртуальной машины, в ситуации, когда адрес смещения находится на странице памяти, другие данные, в которых он не меняется.
Наконец, если вам интересно узнать об этом больше, вы можете проконсультироваться с подробности по следующей ссылке.