Mayhem - атака за повреда на паметта за заобикаляне на sudo и OpenSSH удостоверяване

Изследователи от Worcester Polytechnic Institute (САЩ) въведоха нов тип Mayhem атака, която използва техниката за изкривяване на битове с динамична памет с произволен достъп на Rowhammer, за да промени стойностите на стековите променливи, използвани като флагове в програмата, за да реши дали удостоверяването и проверките за сигурност имат премина. Демонстрират се практически примери за атака за заобикаляне на удостоверяването в SUDO, OpenSSH и MySQL, както и за промяна на резултата от свързаните със сигурността проверки в OpenSSL библиотеката.

Атаката може да се приложи към приложения, които използват проверки за сравняване на стойности, които се различават от нула. Пример за уязвим код: int auth = 0; ... // код за потвърждение, който променя стойността за удостоверяване в случай на успешно удостоверяване if(auth != 0) return AUTH_SUCCESS; иначе върне AUTH_FAILURE;

В контекста на този пример, за успешна атака е достатъчно да се повреди всеки бит в паметта, свързан с 32-битовата променлива за удостоверяване в стека. Ако някой бит в променливата е повреден, стойността вече няма да бъде нула и условният оператор ще определи успешното завършване на удостоверяването. Такива модели за валидиране са доста често срещани в приложенията и се намират например в SUDO, OpenSSH, MySQL и OpenSSL.

Атаката може да се приложи и за сравнения на формата „if(auth == 1)“, но в този случай нейното изпълнение става по-сложно, тъй като е необходимо да се изкриви не всеки бит от 32, а последният бит. Методът може да се използва и за повлияване на стойностите на променливите в регистрите на процесора, тъй като съдържанието на регистрите може временно да бъде изчистено в стека, когато се задейства контекстен превключвател, извикване на функция или манипулатор на сигнали. През периода от време, докато стойностите на регистъра са в паметта, в тази памет могат да бъдат въведени изкривявания и променената стойност ще бъде възстановена в регистъра.

За изкривяване на битовете се използва една от модификациите на атаката на клас RowHammer. Тъй като DRAM паметта е двуизмерен масив от клетки, всяка от които се състои от кондензатор и транзистор, извършването на непрекъснато четене на една и съща област на паметта води до колебания на напрежението и аномалии, които причиняват малка загуба на заряд в съседните клетки. Ако интензитетът на четене е висок, тогава съседната клетка може да загуби достатъчно голямо количество заряд и следващият цикъл на регенерация няма да има време да възстанови първоначалното си състояние, което ще доведе до промяна в стойността на данните, съхранявани в клетката . За да се предпазят от RowHammer, производителите на чипове са добавили TRR (Target Row Refresh) механизъм, който блокира повредата на клетката в специални случаи, но не предпазва от всички възможни вариации на атака.

За да се предпазите от атака Mayhem, се препоръчва в сравненията да не се използва оценка на разлики от нула или съвпадение с единица, а проверка на съвпадение, като се използва произволна начална стойност с ненулеви октети. В този случай, за да зададете желаната стойност на променливата, е необходимо точно да изкривите значителен брой битове, което е нереалистично, за разлика от изкривяването на един бит. Пример за неподлежащ на атака код: int auth = 0xbe406d1a; ... // код за потвърждение, който задава стойността за удостоверяване на 0x23ab8701 в случай на успешно удостоверяване if(auth == 0x23ab8701) return AUTH_SUCCESS; иначе върне AUTH_FAILURE;

Посоченият метод на защита вече е бил използван от разработчиците на sudo и е включен във версия 1.9.15 като корекция за уязвимостта CVE-2023-42465. Те планират да публикуват прототип на кода за извършване на атаката, след като бъдат направени корекции на основните уязвими проекти.

Източник: opennet.ru