Група дослідники з Грацького технологічного університету (Австрія), раніше відомий розробкою атак MDS, NetSpectre, Throwhammer і ZombieLoad, оголошено Кілька днів тому новий метод атаки (CVE-2021-3714) який через канали на стороні механізму дедуплікації сторінки пам'яті може визначити наявність певних даних у пам'яті, організувати витік вмісту пам'яті байтів або визначити компоновку пам'яті для обходу захисту на основі рандомізації адрес (ASLR).
Новий метод відрізняється від варіантів атак на механізм дедуплікації раніше продемонстровано при здійсненні атаки із зовнішнього хоста з використанням в якості критеріїв зміни часу відповіді на запити, надіслані зловмисником через протоколи HTTP / 1 і HTTP / 2. Атака була продемонстрована для серверів Linux і Windows.
Атаки дедуплікації пам'яті використовують різницю в часі обробки операції запису як канал для витоку інформації в ситуаціях, коли зміни даних призводять до клонування дедуплікованої сторінки пам'яті за допомогою механізму копіювання під час запису (COW).
У процесі ядро визначає ті самі сторінки пам'яті різних процесів і поєднує їх, відображаючи ідентичні сторінки пам’яті в область фізичної пам’яті для зберігання лише однієї копії. Коли один із процесів намагається змінити дані, пов’язані з дедуплікованими сторінками, створюється виняток (помилка сторінки) і за допомогою механізму копіювання під час запису автоматично створюється окрема копія сторінки пам’яті, яка виділяється на процес, який витрачає найбільше часу на копіювання, що може бути ознакою того, що дані змінюються збігається з іншим процесом.
Дослідники показали, що внаслідок цього затримки механізму COW можна фіксувати не тільки локально, але й шляхом аналізу зміни часу доставки відповідей по мережі.
З цією інформацією дослідники запропонували кілька методів визначення вмісту пам'яті з віддаленого хоста шляхом аналізу часу виконання запитів через протоколи HTTP / 1 і HTTP / 2. Для збереження вибраних шаблонів використовуються типові веб-додатки, які зберігають інформацію, отриману в запитах, у пам'яті.
Загальний принцип атаки зводиться до заповнення сторінки пам'яті на сервері з даними, які потенційно дублюють вміст сторінки пам’яті, яка вже є на сервері. пізніше зловмисник чекає час, необхідний для дедуплікації ядра і об'єднати сторінку пам'яті, потім змінити контрольовані повторювані дані і оцінює час відповіді, щоб визначити, чи був успіх успішним.
У ході проведених експериментів максимальна швидкість витоку інформації становила 34,41 байт на годину для атаки на глобальну мережу і 302,16 байт на годину для атаки на локальну мережу, що швидше за інші методи вилучення даних бічного каналу. (Наприклад, під час атаки NetSpectre швидкість передачі даних становить 7,5 байт на годину).
Пропонуються три варіанти атаки:
- Перший варіант дозволяє визначити дані в пам'яті веб-сервера, де використовується Memcached. Атака зводиться до завантаження певних наборів даних у сховище Memcached, видалення дедуплікованого блоку, перезапису того самого елемента та створення умови для створення копії COW при зміні вмісту блоку.
- Другий варіант дозволений знати зміст реєстрів в СУБД MariaDB, при використанні сховища InnoDB відтворення вмісту побайтно. Атака здійснюється шляхом надсилання спеціально модифікованих запитів, генерування однобайтових невідповідностей на сторінках пам'яті та аналізу часу відповіді, щоб визначити, що припущення про вміст байта було правильним. Швидкість такого витоку невисока і становить 1,5 байта на годину при атаці з локальної мережі.
- Допускається третій варіант повністю обійти механізм захисту KASLR за 4 хвилини і отримати інформацію про зміщення в пам'яті образу ядра віртуальної машини, в ситуації, коли адреса зміщення знаходиться на сторінці пам'яті, інші дані, в яких вона не змінюється.
Нарешті, якщо вам цікаво дізнатись більше про це, ви можете проконсультуватися з подробиці за наступним посиланням.