Група од истраживачи са Универзитета за технологију у Грацу (Аустрија), раније познат по развоју МДС, НетСпецтре, Тхровхаммер и ЗомбиеЛоад напада, обзнанио Пре неколико дана нови метод напада (ЦВЕ-2021-3714) који кроз канале на страни механизма дедупликације меморијске странице може утврдити присуство одређених података у меморији, организовати цурење бајтова меморијског садржаја или одредити распоред меморије да би се заобишла заштита на основу насумичне адресе (АСЛР).
Нова метода разликује се од варијанти напада на механизам дедупликације претходно демонстрирано приликом извођења напада са спољног хоста користећи као критеријум за промену времена одговора на захтеве које је нападач послао преко ХТТП / 1 и ХТТП / 2 протокола. Напад је демонстриран за Линук и Виндовс сервере.
Напади дедупликације меморије искоришћавају разлику у времену обраде операције писања као канал за цурење информација у ситуацијама када промене података доводе до клонирања дедуплициране меморијске странице користећи механизам копирања при писању (ЦОВ).
У том процесу, кернел одређује исте меморијске странице различитих процеса и комбинује их, мапирање идентичних меморијских страница у област физичке меморије за складиштење само једне копије. Када један од процеса покуша да промени податке повезане са страницама са уклоњеним дупликатима, појављује се изузетак (грешка странице) и, коришћењем механизма копирања-уписивања, аутоматски се креира посебна копија меморијске странице, која се додељује процесу који троши највише времена на копирање, што може бити знак да се подаци мењају преклапа са другим процесом.
Истраживачи су показали да су настала кашњења механизма ЦОВ може се ухватити не само локално, већ и анализом промене времена испоруке одговора преко мреже.
Са овим информацијама истраживачи су предложили неколико метода за одређивање садржаја меморије са удаљеног хоста анализом времена извршења захтева преко ХТТП / 1 и ХТТП / 2 протокола. За чување изабраних шаблона користе се типичне веб апликације које чувају примљене информације у захтевима у меморији.
Општи принцип напада се своди на попуњавање меморијске странице на серверу са подацима који потенцијално дуплирају садржај меморијске странице која се већ налази на серверу. Касније, нападач чека време потребно да се кернел дедуплицира и спојите меморијску страницу, затим измените контролисане дупликате података и процењује време одговора да би се утврдило да ли је успех био успешан.
У току спроведених експеримената, максимална стопа цурења информација износила је 34,41 бајта на сат за напад на ВАН и 302,16 бајтова на сат за напад на локалну мрежу, што је брже од осталих метода екстракције података бочног канала. (На пример, у НетСпецтре нападу, брзина преноса података је 7,5 бајтова на сат).
Предлажу се три варијанте напада:
- Прва опција омогућава вам да дефинишете податке у меморији веб сервера где се користи Мемцацхед. Напад се своди на учитавање одређених скупова података у Мемцацхед складиште, брисање дедуплицираног блока, поновно писање истог елемента и стварање услова за ЦОВ копију када се промени садржај блока.
- Друга опција је дозвољена знати садржај регистара у ДБМС МариаДБ, када користите ИнноДБ складиште, поново креирање садржаја бајт по бајт. Напад се спроводи слањем посебно модификованих захтева, генерисањем једнобајтних неподударања на меморијским страницама и анализом времена одговора да би се утврдило да је претпоставка о садржају бајта тачна. Стопа таквог цурења је ниска и износи 1,5 бајтова на сат када се напада са локалне мреже.
- Трећа опција је дозвољена потпуно заобићи КАСЛР заштитни механизам за 4 минута и добити информацију о офсету у меморији слике кернела виртуелне машине, у ситуацији када је офсет адреса на меморијској страници, друге податке у којима се не мења.
Коначно, ако сте заинтересовани да сазнате више о томе, можете се обратити детаљи у следећем линку.