'n Groep navorsers van die Tegniese Universiteit van Graz (Oostenryk), wat voorheen bekend was vir die ontwikkeling van die MDS-, NetSpectre-, Throwhammer- en ZombieLoad-aanvalle, het 'n nuwe metode van aanval (CVE-2021-3714) deur derdeparty-kanale op die Memory- gepubliseer. Dedupliseringsmeganisme, wat dit moontlik maak om die teenwoordigheid in die geheue van sekere data te bepaal, greep-vir-greep geheue-inhoud te lek, of 'n geheue-uitleg definieer om Address Randomization (ASLR) beskerming te omseil. Die nuwe metode verskil van die voorheen gedemonstreerde variante van aanvalle op die dedupliseringsmeganisme deur 'n aanval vanaf 'n eksterne gasheer uit te voer deur as maatstaf veranderinge in die reaksietyd te gebruik op versoeke wat deur die aanvaller gestuur is via die HTTP/1- en HTTP/2-protokolle. Die moontlikheid om die aanval uit te voer is gedemonstreer vir bedieners gebaseer op Linux en Windows.
Aanvalle op die geheue-dedupliseringsenjin gebruik die verskil in skryfverwerkingstyd as 'n kanaal vir uitlek van inligting in situasies waar 'n dataverandering veroorsaak dat die kopieer-op-skryf-meganisme (COW) die gededupliseerde geheuebladsy kloon. Tydens werking bespeur die kern identiese geheuebladsye van verskillende prosesse en voeg dit saam, en karteer identiese geheuebladsye in een area van fisieke geheue om slegs een kopie te stoor. Wanneer een van die prosesse probeer om die data wat met gededupliseerde bladsye geassosieer word te verander, vind 'n uitsondering (bladsyfout) plaas, en met behulp van die Kopieer-op-skryf-meganisme word 'n aparte kopie van die geheuebladsy outomaties geskep, wat aan die proses toegewys word. . Dit neem ekstra tyd om die kopie te voltooi, wat 'n aanduiding kan wees dat die data deur 'n ander proses verander is.
Die navorsers het getoon dat die vertragings as gevolg van die werking van die KOE-meganisme nie net plaaslik opgevang kan word nie, maar ook deur die verandering in die tyd van aflewering van antwoorde oor die netwerk te ontleed. Verskeie metodes is voorgestel vir die bepaling van die inhoud van geheue vanaf 'n afgeleΓ« gasheer deur die ontleding van die uitvoeringstyd van versoeke via die HTTP/1- en HTTP/2-protokolle. Om die geselekteerde sjablone te stoor, word tipiese webtoepassings gebruik wat die inligting wat in versoeke ontvang is, in die geheue stoor.
Die algemene beginsel van die aanval is om die geheuebladsy op die bediener te vul met data wat moontlik die inhoud van die geheuebladsy wat reeds op die bediener is, herhaal. Die aanvaller wag dan vir die kern om die geheuebladsy te dedupeer en saam te voeg, verander dan die beheerde duplikaat van die data en evalueer die reaksietyd om te bepaal of die treffer suksesvol was.
In die loop van die eksperimente was die maksimum inligtinglekkasietempo 34.41 grepe per uur wanneer deur die globale netwerk aangeval word en 302.16 grepe per uur wanneer deur die plaaslike netwerk aangeval word, wat vinniger is as ander metodes om data deur derdeparty-kanale te onttrek ( byvoorbeeld, wanneer NetSpectre aangeval word, is die data-oordragtempo 7.5 grepe om een ββuur).
Drie werksvariante van die aanval word voorgestel. Die eerste opsie laat jou toe om die data in die geheue van die webbediener wat Memcached gebruik, te bepaal. Die aanval kom daarop neer om sekere datastelle in die Memcached-berging te laai, die gededupliseerde blok skoon te maak, dieselfde element te herskryf en 'n voorwaarde te skep vir die voorkoms van COW-kopiering deur die inhoud van die blok te verander. Tydens die eksperiment met Memcached het dit 166.51 sekondes geneem om die weergawe van libc te bepaal wat op die stelsel wat in die virtuele masjien loop, geΓ―nstalleer is.
Die tweede opsie het dit moontlik gemaak om die inhoud van rekords in die MariaDB DBMS uit te vind, met behulp van die InnoDB-berging, deur die inhoud greep vir greep te herskep. Die aanval word gemaak deur spesiaal gewysigde versoeke te stuur, wat lei tot enkelgreep-wanpassings in geheuebladsye en die reaksietyd te ontleed om te bepaal dat die raaiskoot oor die inhoud van die greep korrek was. Die tempo van so 'n lekkasie is laag en beloop 1.5 grepe per uur wanneer dit vanaf 'n plaaslike netwerk aangeval word. Die voordeel van die metode is dat dit gebruik kan word om onbekende inhoud van geheue te herstel.
Die derde opsie het dit moontlik gemaak om die KASLR-beskermingsmeganisme binne 4 minute heeltemal te omseil en inligting oor die afwyking in die geheue van die virtuele masjienkernbeeld te verkry, in 'n situasie waar die verrekenadres in 'n geheuebladsy is waarin ander data nie verander. Die aanval is uitgevoer vanaf 'n gasheer wat 14 hops weg van die aangeval stelsel geleΓ« was. Kodevoorbeelde vir die aangebied aanvalle word belowe om op GitHub gepubliseer te word.
Bron: opennet.ru