Rannsakendahópur frá Tækniháskólanum í Graz (Austurríki), sem áður var þekktur fyrir að þróa MDS, NetSpectre, Throwhammer og ZombieLoad árásirnar, hefur gefið út nýja hliðarrásarárásaraðferð (CVE-2021-3714) gegn minnis-afritunarvélinni. Þessi árás gerir kleift að ákvarða tilvist tiltekinna gagna í minni, skipuleggja bæti-fyrir-bæti minnisleka eða ákvarða minnisuppsetningu til að komast framhjá slembiraðaðri vistfangsmiðaðri röðun (ASLR). Nýja aðferðin er frábrugðin áður sýndum árásum á afritunarvélina að því leyti að árásin er framkvæmd frá utanaðkomandi hýsingaraðila með því að nota breytingar á svörunartíma við beiðnum sem árásarmaðurinn sendir yfir HTTP/1 og HTTP/2 samskiptareglurnar sem viðmið. Sýnt var fram á að árásin væri framkvæmanleg fyrir netþjóna byggða á... Linux и Windows.
Árásir á afritunarferli minnis nýta sér mismuninn á skriftíma sem leið fyrir upplýsingaleka í aðstæðum þar sem gagnabreytingar leiða til klónunar á afritunar minnissíðu með því að nota Copy-On-Write (COW) kerfið. Kjarninn greinir eins minnissíður frá mismunandi ferlum og sameinar þær, og tengir sömu minnissíðurnar við eitt svæði í efnislegu minni til að geyma aðeins eitt eintak. Þegar eitt ferli reynir að breyta gögnum sem tengjast afritunarsíðum kemur upp undantekning (síðuvilla) og Copy-On-Write kerfið býr sjálfkrafa til sérstakt eintak af minnissíðunni og úthlutar því ferlinu. Afritunarferlið tekur lengri tíma, sem getur bent til breytinga á gögnum sem skarast við annað ferli.
Rannsakendur hafa sýnt fram á að tafir sem stafa af COW-kerfinu er hægt að greina ekki aðeins staðbundið heldur einnig með því að greina breytingar á svörunartíma yfir netið. Nokkrar aðferðir eru lagðar til til að ákvarða minnisinnihald frá fjarstýrðum vélar með því að greina keyrslutíma beiðna yfir HTTP/1 og HTTP/2 samskiptareglur. Til að geyma valin mynstur eru notuð stöðluð vefforrit sem geyma upplýsingarnar sem berast í beiðnum í minni.
Almenna meginreglan í árásinni snýst um að fylla inn í netþjónn Minnissíður með gögnum sem hugsanlega afrita innihald núverandi minnissíðu á netþjóninum. Árásaraðilinn bíður síðan eftir að kjarninn afriti og sameinar minnissíðuna, eftir það breytir hann stýrðum afrituðum gögnum og metur svörunartímann til að ákvarða árangur árásarinnar.
Í tilraununum var hámarks upplýsingalekahraði 34.41 bæti á klukkustund í árás í gegnum alheimsnetið og 302.16 bæti á klukkustund í árás í gegnum staðarnetið, sem er hraðara en aðrar aðferðir við gagnaöflun í gegnum hliðarrásir (til dæmis, í NetSpectre árás er gagnaflutningshraðinn 7.5 bæti á klukkustund).
Þrjár virkar árásarafbrigði hafa verið lagðar til. Fyrsta afbrigðið gerir kleift að bera kennsl á gögn í minni. vefþjónar, sem notar Memcached. Árásin felst í því að hlaða tilteknum gagnasöfnum inn í Memcached geymslu, hreinsa afritaðan blokk, endurskrifa sama þátt og skapa skilyrði fyrir COW afrit með því að breyta innihaldi blokkarinnar. Í tilrauninni með Memcached var hægt að ákvarða libc útgáfuna sem var uppsett á kerfinu sem keyrir í sýndarvél á 166.51 sekúndu.
Önnur aðferðin gerði vísindamönnum kleift að uppgötva innihald færslna í MariaDB gagnagrunnsstjórnunarkerfinu (DBMS), með því að nota InnoDB geymslu, með því að endurgera innihaldið bæti fyrir bæti. Árásin er framkvæmd með því að senda sérstaklega breyttar beiðnir sem valda ósamræmi í einstökum bæti í minnissíðum og greina svörunartíma til að ákvarða hvort ágiskunin um innihald bætisins hafi verið rétt. Lekahraði af þessari gerð er lágur og nemur 1.5 bæti á klukkustund þegar árás er gerð frá staðarneti. Kostur þessarar aðferðar er að hægt er að nota hana til að endurheimta óþekkt minnisinnihald.
Þriðja útgáfan gerði árásarmanninum kleift að komast alveg framhjá KASLR varnarkerfinu á fjórum mínútum og fá upplýsingar um minnisbreytingu kjarnamyndar sýndarvélarinnar, jafnvel þótt breytingavistfangið sé staðsett á minnissíðu þar sem önnur gögn eru óbreytt. Árásin var framkvæmd frá vél sem er staðsett 14 hoppum frá markkerfinu. Gert er ráð fyrir að kóðadæmi fyrir árásirnar verði birt á GitHub.
Heimild: opennet.ru
