Un groupe de chercheurs de la Vrije Universiteit Amsterdam et de l'ETH Zurich ont développé une technique d'attaque de réseau
Intel
La méthode utilisée pour l'attaque ressemble à une vulnérabilité "
Grâce à DDIO, le cache du processeur inclut également les données générées lors d'activités réseau malveillantes. L'attaque NetCAT est basée sur le fait que les cartes réseau mettent activement en cache les données et que la vitesse de traitement des paquets dans les réseaux locaux modernes est suffisante pour influencer le remplissage du cache et déterminer la présence ou l'absence de données dans le cache en analysant les retards pendant la transmission des données. transfert.
Lors de l'utilisation de sessions interactives, par exemple via SSH, le paquet réseau est envoyé immédiatement après avoir appuyé sur la touche, c'est-à-dire les délais entre les paquets sont en corrélation avec les délais entre les frappes. En utilisant des méthodes d'analyse statistique et en tenant compte du fait que les délais entre les frappes dépendent généralement de la position de la touche sur le clavier, il est possible de recréer les informations saisies avec une certaine probabilité. Par exemple, la plupart des gens ont tendance à taper « s » après « a » beaucoup plus rapidement que « g » après « s ».
Les informations déposées dans le cache du processeur permettent également de juger de l'heure exacte des paquets envoyés par la carte réseau lors du traitement des connexions telles que SSH. En générant un certain flux de trafic, un attaquant peut déterminer le moment où de nouvelles données apparaissent dans le cache associées à une activité spécifique du système. Pour analyser le contenu du cache, la méthode est utilisée
Il est possible que la technique proposée puisse être utilisée pour déterminer non seulement les frappes au clavier, mais également d'autres types de données confidentielles déposées dans le cache du processeur. L'attaque peut potentiellement être menée même si RDMA est désactivé, mais sans RDMA, son efficacité est réduite et son exécution devient nettement plus difficile. Il est également possible d'utiliser DDIO pour organiser un canal de communication secret utilisé pour transférer des données après qu'un serveur a été compromis, contournant les systèmes de sécurité.
Source: opennet.ru