Əvvəllər MDS, NetSpectre, Throwhammer və ZombieLoad hücumlarını inkişaf etdirməklə tanınan Qraz Texniki Universitetinin (Avstriya) bir qrup tədqiqatçısı Yaddaş-Duplikasiya mexanizminə qarşı yeni yan kanal hücumu metodunu (CVE-2021-3714) dərc edib. , müəyyən məlumatların yaddaşda mövcudluğunu müəyyən etməyə, yaddaş məzmununun bayt-bayt sızmasını təşkil etməyə və ya ünvana əsaslanan təsadüfiləşdirmə (ASLR) mühafizəsini keçmək üçün yaddaş planını təyin etməyə imkan verir. Yeni metod, HTTP/1 və HTTP/2 protokolları vasitəsilə təcavüzkara göndərilən sorğulara cavab müddətinin dəyişməsindən meyar kimi istifadə edərək, xarici hostdan hücumun həyata keçirilməsi ilə deduplikasiya mexanizminə hücumların əvvəllər nümayiş etdirilmiş variantlarından fərqlənir. Hücumun həyata keçirilməsi qabiliyyəti Linux və Windows-a əsaslanan serverlər üçün nümayiş etdirilib.
Yaddaşın təkmilləşdirmə mexanizminə edilən hücumlar, məlumatların dəyişdirilməsinin Copy-On-Write (COW) mexanizmindən istifadə edərək təkrar yaddaş səhifəsinin klonlanmasına səbəb olduğu hallarda məlumat sızması üçün bir kanal kimi yazma əməliyyatının emal müddətindəki fərqdən istifadə edir. . Əməliyyat zamanı nüvə müxtəlif proseslərdən eyni yaddaş səhifələrini aşkar edir və onları birləşdirir, eyni yaddaş səhifələrini yalnız bir nüsxəni saxlamaq üçün fiziki yaddaşın vahid sahəsinə uyğunlaşdırır. Proseslərdən biri təkrarlanan səhifələrlə əlaqəli məlumatları dəyişdirməyə çalışdıqda, istisna (səhifə xətası) baş verir və Kopyalama-Yazma mexanizmindən istifadə edərək, prosesə təyin olunan yaddaş səhifəsinin ayrıca nüsxəsi avtomatik olaraq yaradılır. Surəti tamamlamaq üçün əlavə vaxt sərf olunur ki, bu da başqa bir prosesə müdaxilə edən məlumat dəyişikliklərinin əlaməti ola bilər.
Tədqiqatçılar göstərdilər ki, COW mexanizmindən yaranan gecikmələr təkcə yerli olaraq deyil, həm də şəbəkə üzərindən cavabların çatdırılma müddətlərindəki dəyişiklikləri təhlil etməklə ələ keçirilə bilər. HTTP/1 və HTTP/2 protokolları üzərindən sorğuların icra müddətini təhlil edərək uzaq hostdan yaddaşın məzmununu təyin etmək üçün bir neçə üsul təklif edilmişdir. Seçilmiş şablonları saxlamaq üçün sorğularda alınan məlumatları yaddaşda saxlayan standart veb proqramlardan istifadə olunur.
Hücumun ümumi prinsipi serverdəki yaddaş səhifəsini serverdə artıq mövcud olan yaddaş səhifəsinin məzmununu potensial olaraq təkrarlayan məlumatlarla doldurmaqdan ibarətdir. Təcavüzkar daha sonra nüvənin yaddaş səhifəsini təkmilləşdirməsi və birləşməsi üçün tələb olunan vaxtı gözləyir, sonra idarə olunan dublikat məlumatları dəyişdirir və zərbənin uğurlu olub-olmadığını müəyyən etmək üçün cavab vaxtını qiymətləndirir.
Təcrübələr zamanı məlumat sızmasının maksimal sürəti qlobal şəbəkə vasitəsilə hücum zamanı saatda 34.41 bayt, yerli şəbəkə vasitəsilə hücum zamanı isə saatda 302.16 bayt təşkil etmişdir ki, bu da üçüncü tərəf kanalları vasitəsilə məlumatların çıxarılmasının digər üsullarından daha sürətlidir (məsələn, NetSpectre hücumunda məlumat ötürmə sürəti saat birdə 7.5 bayt təşkil edir).
Üç işçi hücum variantı təklif edilmişdir. Birinci seçim Memcached-dən istifadə edən veb serverin yaddaşında olan məlumatları müəyyən etməyə imkan verir. Hücum müəyyən məlumat dəstlərinin Memcached yaddaşına yüklənməsinə, təkmilləşdirilmiş blokun təmizlənməsinə, eyni elementin yenidən yazılmasına və blokun məzmununu dəyişdirərək COW surətinin çıxarılmasına şərait yaratmaqdan ibarətdir. Memcached ilə aparılan təcrübə zamanı virtual maşında işləyən sistemdə quraşdırılmış libc versiyasını 166.51 saniyəyə müəyyən etmək mümkün olub.
İkinci seçim, InnoDB yaddaşından istifadə edərkən, məzmunu bayt-bayt yenidən yaratmaqla MariaDB DBMS-də qeydlərin məzmununu öyrənməyə imkan verdi. Hücum xüsusi dəyişdirilmiş sorğular göndərməklə həyata keçirilir, nəticədə yaddaş səhifələrində bir baytlıq uyğunsuzluqlar yaranır və baytın məzmunu ilə bağlı təxminin düzgün olduğunu müəyyən etmək üçün cavab müddəti təhlil edilir. Belə bir sızmanın sürəti aşağıdır və yerli şəbəkədən hücum zamanı saatda 1.5 bayt təşkil edir. Metodun üstünlüyü ondan ibarətdir ki, naməlum yaddaş məzmununu bərpa etmək üçün istifadə oluna bilər.
Üçüncü seçim, ofset ünvanının digər məlumatların dəyişmədiyi yaddaş səhifəsində olduğu bir vəziyyətdə, 4 dəqiqə ərzində KASLR qoruma mexanizmindən tamamilə yan keçməyə və virtual maşının nüvəsi təsvirinin yaddaş ofseti haqqında məlumat əldə etməyə imkan verdi. Hücum hücuma məruz qalan sistemdən 14 hop məsafədə yerləşən ev sahibi tərəfindən həyata keçirilib. Təqdim olunan hücumların həyata keçirilməsi üçün kod nümunələrinin GitHub-da dərc ediləcəyi vəd edilir.
Mənbə: opennet.ru