Grupo de esploristoj de la Teknika Universitato de Graz (Aŭstrio), antaŭe konata pro evoluigado de la atakoj MDS, NetSpectre, Throwhammer kaj ZombieLoad, publikigis novan flanka-kanalan atakmetodon (CVE-2021-3714) kontraŭ la mekanismo Memoro-Deduplication. , kiu permesas determini la ĉeeston de en memoro de certaj datenoj, organizi bajt-post-bajtan likon de memorenhavo, aŭ determini la memorenpaĝigon por preteriri adres-bazitan hazardigon (ASLR) protekton. La nova metodo diferencas de antaŭe pruvitaj variantoj de atakoj kontraŭ la deduplika mekanismo per atako de ekstera gastiganto uzante kiel kriterion la ŝanĝon en respondtempo al petoj senditaj al la atakanto per la HTTP/1 kaj HTTP/2 protokoloj. La kapablo efektivigi la atakon estis pruvita por serviloj bazitaj sur Linukso kaj Vindozo.
Atakoj sur la memorodeduplikadmekanismo utiligas la diferencon en la pretigtempo de skriboperacio kiel kanalon por liki informojn en situacioj kie ŝanĝo en datenoj kondukas al la klonado de deduplikita memorpaĝo uzanta la Copy-On-Write (COW) mekanismon . Dum operacio, la kerno detektas identajn memorpaĝojn de malsamaj procezoj kaj kunfandas ilin, mapante identajn memorpaĝojn en ununuran areon de fizika memoro por stoki nur unu kopion. Kiam unu el la procezoj provas ŝanĝi datumojn asociitajn kun deduplikataj paĝoj, okazas escepto (paĝa faŭlto) kaj, uzante la mekanismon Copy-On-Write, aŭtomate kreiĝas aparta kopio de la memorpaĝo, kiu estas asignita al la procezo. Plia tempo estas elspezita kompletigante la kopion, kio povas esti signo de datenŝanĝoj influantaj alian procezon.
Esploristoj montris, ke la prokrastoj rezultantaj de la COW-mekanismo povas esti kaptitaj ne nur loke, sed ankaŭ analizante ŝanĝojn en respondaj livertempoj tra la reto. Pluraj metodoj estis proponitaj por determini la enhavon de memoro de fora gastiganto analizante la ekzekuttempon de petoj super la HTTP/1 kaj HTTP/2 protokoloj. Por konservi elektitajn ŝablonojn, oni uzas normajn TTT-aplikaĵojn, kiuj konservas la informojn ricevitajn en petoj en memoro.
La ĝenerala principo de la atako konsistas en plenigi memorpaĝon sur la servilo kun datumoj, kiuj eble ripetas la enhavon de memorpaĝo jam ekzistanta sur la servilo. La atakanto tiam atendas la tempon necesan por la kerno por dedupliki kaj kunfandi la memorpaĝon, tiam modifas la kontrolitajn duplikatajn datumojn kaj taksas la respondtempon por determini ĉu la sukceso estis sukcesa.
Dum la eksperimentoj, la maksimuma informforflua indico estis 34.41 bajtoj je horo kiam oni atakas tra tutmonda reto kaj 302.16 bajtoj je horo kiam oni atakas tra loka reto, kio estas pli rapida ol aliaj metodoj por ĉerpi datumojn per triaj kanaloj (ekzemple, en NetSpectre-atako, la transigo de datumoj estas 7.5 bajtoj je la unua horo).
Tri laboraj atakopcioj estis proponitaj. La unua opcio permesas vin determini la datumojn en la memoro de la retservilo, kiu uzas Memcached. La atako resumas al ŝarĝo de certaj aroj da datumoj en Memcached-stokadon, malplenigante la deduplikitan blokon, reverkante la saman elementon kaj kreante kondiĉon por ke COW-kopiado okazu ŝanĝante la enhavon de la bloko. Dum la eksperimento kun Memcached, eblis determini en 166.51 sekundoj la version de libc instalita sur sistemo funkcianta en virtuala maŝino.
La dua opcio ebligis ekscii la enhavon de registroj en la MariaDB DBMS, uzante InnoDB-stokadon, rekreante la enhavon bajto post bajto. La atako estas efektivigita sendante speciale modifitajn petojn, rezultigante unubajtajn miskongruojn en memorpaĝoj kaj analizante la respondtempon por determini ke la diveno pri la enhavo de la bajto estis ĝusta. La indico de tia liko estas malalta kaj sumiĝas al 1.5 bajtoj hore kiam atakas de loka reto. La avantaĝo de la metodo estas, ke ĝi povas esti uzata por reakiri nekonatan memorenhavon.
La tria opcio ebligis tute preterpasi la KASLR-protektan mekanismon en 4 minutoj kaj akiri informojn pri la memora ofseto de la virtuala maŝina kerno-bildo, en situacio kie la ofseta adreso estas en memorpaĝo en kiu aliaj datumoj ne ŝanĝiĝas. La atako estis farita de gastiganto situanta 14 lupolo de la atakita sistemo. Kodekzemploj por efektivigi la prezentitajn atakojn estas promesitaj esti publikigitaj sur GitHub.
fonto: opennet.ru