Un groupe de chercheurs de la Vrije Universiteit Amsterdam et de l'ETH Zurich ont développé une technique d'attaque de réseau (Network Cache ATtack), qui permet, à l'aide de méthodes d'analyse de données via des canaux tiers, de déterminer à distance les touches appuyées par l'utilisateur alors qu'il travaille dans une session SSH. Le problème n'apparaît que sur les serveurs qui utilisent des technologies (Accès direct à distance à la mémoire) et (E/S directes de données).
Intel , que l'attaque est difficile à mettre en œuvre en pratique, car elle nécessite l'accès de l'attaquant au réseau local, des conditions stériles et l'organisation de la communication hôte à l'aide des technologies RDMA et DDIO, qui sont généralement utilisées dans des réseaux isolés, par exemple dans lesquels des ordinateurs les clusters fonctionnent. Le problème est classé mineur (CVSS 2.6, ) et il est recommandé de ne pas activer DDIO et RDMA dans les réseaux locaux où le périmètre de sécurité n'est pas fourni et où la connexion de clients non fiables est autorisée. DDIO est utilisé dans les processeurs de serveur Intel depuis 2012 (Intel Xeon E5, E7 et SP). Les systèmes basés sur des processeurs AMD et d'autres fabricants ne sont pas concernés par le problème, car ils ne prennent pas en charge le stockage des données transférées sur le réseau dans le cache du processeur.
La méthode utilisée pour l'attaque ressemble à une vulnérabilité "», qui vous permet de modifier le contenu de bits individuels dans la RAM grâce à la manipulation des paquets réseau dans les systèmes avec RDMA. Le nouveau problème est une conséquence des travaux visant à minimiser les retards lors de l'utilisation du mécanisme DDIO, qui garantit une interaction directe de la carte réseau et d'autres périphériques avec le cache du processeur (dans le processus de traitement des paquets de la carte réseau, les données sont stockées dans le cache et récupéré du cache, sans accéder à la mémoire).
Grâce à DDIO, le cache du processeur inclut également les données générées lors d'activités réseau malveillantes. L'attaque NetCAT est basée sur le fait que les cartes réseau mettent activement en cache les données et que la vitesse de traitement des paquets dans les réseaux locaux modernes est suffisante pour influencer le remplissage du cache et déterminer la présence ou l'absence de données dans le cache en analysant les retards pendant la transmission des données. transfert.
Lors de l'utilisation de sessions interactives, par exemple via SSH, le paquet réseau est envoyé immédiatement après avoir appuyé sur la touche, c'est-à-dire les délais entre les paquets sont en corrélation avec les délais entre les frappes. En utilisant des méthodes d'analyse statistique et en tenant compte du fait que les délais entre les frappes dépendent généralement de la position de la touche sur le clavier, il est possible de recréer les informations saisies avec une certaine probabilité. Par exemple, la plupart des gens ont tendance à taper « s » après « a » beaucoup plus rapidement que « g » après « s ».
Les informations déposées dans le cache du processeur permettent également de juger de l'heure exacte des paquets envoyés par la carte réseau lors du traitement des connexions telles que SSH. En générant un certain flux de trafic, un attaquant peut déterminer le moment où de nouvelles données apparaissent dans le cache associées à une activité spécifique du système. Pour analyser le contenu du cache, la méthode est utilisée , qui consiste à remplir le cache avec un ensemble de valeurs de référence et à mesurer le temps d'accès à celles-ci lors du repeuplement pour déterminer les modifications.
Il est possible que la technique proposée puisse être utilisée pour déterminer non seulement les frappes au clavier, mais également d'autres types de données confidentielles déposées dans le cache du processeur. L'attaque peut potentiellement être menée même si RDMA est désactivé, mais sans RDMA, son efficacité est réduite et son exécution devient nettement plus difficile. Il est également possible d'utiliser DDIO pour organiser un canal de communication secret utilisé pour transférer des données après qu'un serveur a été compromis, contournant les systèmes de sécurité.
Source: opennet.ru