En gruppe forskere fra det tekniske universitet i Graz (Østrig), tidligere kendt for at udvikle MDS-, NetSpectre-, Throwhammer- og ZombieLoad-angrebene, offentliggjorde en ny angrebsmetode (CVE-2021-3714) gennem tredjepartskanaler på Memory- Deduplikeringsmekanisme, som gør det muligt at bestemme tilstedeværelsen i hukommelsen af visse data, lække byte-for-byte hukommelsesindhold eller definere et hukommelseslayout for at omgå Address Randomization (ASLR) beskyttelse. Den nye metode adskiller sig fra de tidligere demonstrerede varianter af angreb på deduplikeringsmekanismen ved at udføre et angreb fra en ekstern vært ved at bruge som kriterium ændringer i responstiden på anmodninger sendt af angriberen via HTTP/1- og HTTP/2-protokollerne. Muligheden for at udføre angrebet er blevet demonstreret for servere baseret på Linux og Windows.
Angreb på hukommelses-deduplikeringsmotoren bruger forskellen i skrivebehandlingstid som en kanal for informationslækage i situationer, hvor en dataændring får COW-mekanismen til at klone den deduplikerede hukommelsesside. Under drift detekterer kernen identiske hukommelsessider fra forskellige processer og fusionerer dem, kortlægger identiske hukommelsessider til et område af fysisk hukommelse for kun at gemme én kopi. Når en af processerne forsøger at ændre de data, der er knyttet til deduplikerede sider, opstår der en undtagelse (sidefejl), og ved hjælp af Copy-On-Write-mekanismen oprettes der automatisk en separat kopi af hukommelsessiden, som tildeles processen . Det tager ekstra tid at færdiggøre kopien, hvilket kan være en indikation af, at dataene bliver ændret af en anden proces.
Forskerne viste, at forsinkelserne som følge af driften af COW-mekanismen kan fanges ikke kun lokalt, men også ved at analysere ændringen i tidspunktet for levering af svar over netværket. Adskillige metoder er blevet foreslået til at bestemme indholdet af hukommelsen fra en fjernvært gennem analyse af eksekveringstiden for anmodninger via HTTP/1- og HTTP/2-protokollerne. For at gemme de valgte skabeloner bruges typiske webapplikationer, der gemmer de oplysninger, der modtages i anmodninger, i hukommelsen.
Det generelle princip for angrebet er at fylde hukommelsessiden på serveren med data, der potentielt gentager indholdet af hukommelsessiden, der allerede er på serveren. Angriberen venter derefter på, at kernen deduperer og fusionerer hukommelsessiden, før han ændrer den kontrollerede duplikat af dataene og evaluerer responstiden for at afgøre, om hittet var vellykket.
I løbet af eksperimenterne var den maksimale informationslækagehastighed 34.41 bytes i timen ved angreb gennem det globale netværk og 302.16 bytes i timen ved angreb gennem det lokale netværk, hvilket er hurtigere end andre metoder til at udtrække data gennem tredjepartskanaler ( for eksempel, når man angriber NetSpectre, er dataoverførselshastigheden 7.5 bytes klokken et).
Der foreslås tre arbejdsvarianter af angrebet. Den første mulighed giver dig mulighed for at bestemme dataene i hukommelsen på webserveren, der bruger Memcached. Angrebet kommer ned til at indlæse visse datasæt i Memcached-lageret, rydde den deduplikerede blok, omskrive det samme element og skabe en betingelse for forekomsten af COW-kopiering ved at ændre indholdet af blokken. Under eksperimentet med Memcached tog det 166.51 sekunder at bestemme, hvilken version af libc, der var installeret på systemet, der kørte i den virtuelle maskine.
Den anden mulighed gjorde det muligt at finde ud af indholdet af poster i MariaDB DBMS ved hjælp af InnoDB-lageret ved at genskabe indholdet byte for byte. Angrebet er lavet ved at sende specielt modificerede anmodninger, hvilket resulterer i single-byte-uoverensstemmelser på hukommelsessider og ved at analysere reaktionstiden for at fastslå, at gættet om indholdet af byten var korrekt. Hyppigheden af en sådan lækage er lav og beløber sig til 1.5 bytes i timen, når den angribes fra et lokalt netværk. Fordelen ved metoden er, at den kan bruges til at gendanne ukendt indhold af hukommelsen.
Den tredje mulighed gjorde det muligt fuldstændigt at omgå KASLR-beskyttelsesmekanismen på 4 minutter og få information om forskydningen i hukommelsen af det virtuelle maskine-kernebillede i en situation, hvor offsetadressen er på en hukommelsesside, hvor andre data ikke lave om. Angrebet blev udført fra en vært placeret 14 hop væk fra det angrebne system. Kodeeksempler for de præsenterede angreb loves at blive offentliggjort på GitHub.
Kilde: opennet.ru