Un grupo de investigadores de la Vrije Universiteit Amsterdam y ETH Zurich ha desarrollado una técnica de ataque a la red (Network Cache ATtack), que permite, utilizando métodos de análisis de datos a través de canales de terceros, determinar de forma remota las teclas presionadas por el usuario mientras trabaja en una sesión SSH. El problema sólo aparece en servidores que utilizan tecnologías. (Acceso remoto directo a memoria) y (E/S directa de datos).
Intel , que el ataque es difícil de implementar en la práctica, ya que requiere el acceso del atacante a la red local, condiciones estériles y la organización de la comunicación con el host utilizando tecnologías RDMA y DDIO, que generalmente se usan en redes aisladas, por ejemplo, en las que la informática operan los clusters. La emisión está clasificada como Menor (CVSS 2.6, ) y se recomienda no habilitar DDIO y RDMA en redes locales donde no se proporciona el perímetro de seguridad y se permite la conexión de clientes no confiables. DDIO se utiliza en los procesadores de servidores Intel desde 2012 (Intel Xeon E5, E7 y SP). Los sistemas basados en procesadores de AMD y otros fabricantes no se ven afectados por el problema, ya que no admiten el almacenamiento de datos transferidos a través de la red en la memoria caché de la CPU.
El método utilizado para el ataque se parece a una vulnerabilidad "“, que permite cambiar el contenido de bits individuales en la RAM mediante la manipulación de paquetes de red en sistemas con RDMA. El nuevo problema es consecuencia del trabajo para minimizar los retrasos al utilizar el mecanismo DDIO, que garantiza la interacción directa de la tarjeta de red y otros dispositivos periféricos con la memoria caché del procesador (en el proceso de procesamiento de paquetes de la tarjeta de red, los datos se almacenan en la memoria caché y recuperado del caché, sin acceder a la memoria).
Gracias a DDIO, la caché del procesador también incluye datos generados durante la actividad maliciosa de la red. El ataque NetCAT se basa en el hecho de que las tarjetas de red almacenan datos en caché de forma activa y la velocidad de procesamiento de paquetes en las redes locales modernas es suficiente para influir en el llenado de la caché y determinar la presencia o ausencia de datos en la caché mediante el análisis de los retrasos en la transferencia de datos. transferir.
Cuando se utilizan sesiones interactivas, como por ejemplo a través de SSH, el paquete de red se envía inmediatamente después de presionar la tecla, es decir. los retrasos entre paquetes se correlacionan con los retrasos entre pulsaciones de teclas. Utilizando métodos de análisis estadístico y teniendo en cuenta que los retrasos entre pulsaciones suelen depender de la posición de la tecla en el teclado, es posible recrear la información ingresada con cierta probabilidad. Por ejemplo, la mayoría de las personas tienden a escribir "s" después de "a" mucho más rápido que "g" después de "s".
La información depositada en la memoria caché del procesador también permite juzgar la hora exacta de los paquetes enviados por la tarjeta de red al procesar conexiones como SSH. Al generar un determinado flujo de tráfico, un atacante puede determinar el momento en que aparecen nuevos datos en la caché asociados con una actividad específica en el sistema. Para analizar el contenido del caché, se utiliza el método. , que implica llenar el caché con un conjunto de valores de referencia y medir el tiempo de acceso a ellos cuando se vuelve a llenar para determinar los cambios.
Es posible que la técnica propuesta pueda usarse para determinar no solo las pulsaciones de teclas, sino también otros tipos de datos confidenciales depositados en la memoria caché de la CPU. El ataque puede potencialmente llevarse a cabo incluso si RDMA está deshabilitado, pero sin RDMA su efectividad se reduce y la ejecución se vuelve significativamente más difícil. También es posible utilizar DDIO para organizar un canal de comunicación encubierto utilizado para transferir datos después de que un servidor haya sido comprometido, evitando los sistemas de seguridad.
Fuente: opennet.ru