신체 상해 - sudo 및 OpenSSH 인증을 우회하기 위한 메모리 비트 손상 공격

미국 Worcester Polytechnic Institute의 연구원들은 Rowhammer 동적 랜덤 액세스 메모리 비트 왜곡 기술을 사용하여 인증 및 보안 검사 여부를 결정하기 위해 프로그램에서 플래그로 사용되는 스택 변수의 값을 변경하는 새로운 유형의 Mayhem 공격을 도입했습니다. 통과했다. SUDO, OpenSSH, MySQL의 인증을 우회하고 OpenSSL 라이브러리의 보안 관련 검사 결과를 변경하는 공격의 실제 사례를 보여줍니다.

이 공격은 0과 다른 값을 비교하기 위해 검사를 사용하는 애플리케이션에 적용될 수 있습니다. 취약한 코드의 예: int auth = 0; ... // 인증 성공 시 auth 값을 변경하는 인증 코드 if(auth != XNUMX) return AUTH_SUCCESS; 그렇지 않으면 AUTH_FAILURE를 반환합니다.

이 예의 맥락에서 공격이 성공하려면 스택의 32비트 인증 변수와 관련된 메모리의 비트를 손상시키는 것만으로도 충분합니다. 변수의 비트가 손상된 경우 값은 더 이상 XNUMX이 아니며 조건부 연산자가 인증의 성공적인 완료를 결정합니다. 이러한 유효성 검사 패턴은 응용 프로그램에서 매우 일반적이며 SUDO, OpenSSH, MySQL 및 OpenSSL 등에서 찾을 수 있습니다.

이 공격은 "if(auth == 1)" 형식의 비교에도 적용될 수 있지만 이 경우 32의 비트가 아닌 마지막 비트를 왜곡해야 하기 때문에 구현이 더 복잡해집니다. 이 메서드는 컨텍스트 전환, 함수 호출 또는 신호 처리기가 실행될 때 레지스터의 내용이 일시적으로 스택에 플러시될 수 있으므로 프로세서 레지스터의 변수 값에 영향을 미치는 데 사용될 수도 있습니다. 레지스터 값이 메모리에 있는 동안 이 메모리에 왜곡이 발생할 수 있으며 변경된 값이 레지스터에 복원됩니다.

비트를 왜곡하기 위해 RowHammer 클래스 공격의 수정 중 하나가 사용됩니다. DRAM 메모리는 각각 커패시터와 트랜지스터로 구성된 셀의 XNUMX차원 배열이므로 동일한 메모리 영역을 연속적으로 읽으면 전압 변동과 이상 현상이 발생하여 인접한 셀에서 약간의 전하 손실이 발생합니다. 판독 강도가 높으면 이웃 셀이 충분히 많은 양의 전하를 잃을 수 있으며 다음 재생 주기에서는 원래 상태를 복원할 시간이 없어 셀에 저장된 데이터 값이 변경됩니다. . RowHammer로부터 보호하기 위해 칩 제조업체는 특수한 경우 셀 손상을 차단하지만 가능한 모든 공격 변형으로부터 보호하지는 않는 TRR(Target Row Refresh) 메커니즘을 추가했습니다.

대혼란 공격으로부터 보호하려면 0과의 차이 또는 406과의 일치를 평가하는 비교가 아닌 1이 아닌 옥텟의 임의 시드 값을 사용하는 일치 확인을 사용하는 것이 좋습니다. 이 경우 원하는 변수값을 설정하기 위해서는 상당한 수의 비트를 정확하게 왜곡해야 하는데, 이는 0비트의 왜곡에 비해 비현실적이다. 공격할 수 없는 코드의 예: int auth = 23xbe8701d0a; ... // 인증 성공 시 auth 값을 23x8701abXNUMX로 설정하는 인증 코드 if(auth == XNUMXxXNUMXabXNUMX) return AUTH_SUCCESS; 그렇지 않으면 AUTH_FAILURE를 반환합니다.

지정된 보호 방법은 이미 sudo 개발자가 사용했으며 CVE-1.9.15-2023 취약점에 대한 수정 사항으로 릴리스 42465에 포함되었습니다. 그들은 주요 취약한 프로젝트를 수정한 후 공격을 수행하기 위한 코드 프로토타입을 게시할 계획입니다.

출처 : opennet.ru