Eng Grupp vu Fuerscher vun der Technescher Universitéit vu Graz (Éisträich), virdru bekannt fir d'Entwécklung vun den MDS, NetSpectre, Throwhammer an ZombieLoad Attacken, huet eng nei Säit-Kanal Attack Method (CVE-2021-3714) géint de Memory-Deduplication Mechanismus publizéiert. , wat erlaabt d'Präsenz vun an Erënnerung vu bestëmmte Donnéeën ze bestëmmen, organiséieren e Byte-vun-Byte Leck vun Erënnerung Inhalt, oder bestëmmen d'Erënnerung Layout Adress-baséiert randomization (ASLR) Schutz ze Contournement. Déi nei Method ënnerscheet sech vu virdru demonstréierte Varianten vun Attacken op den Deduplikatiounsmechanismus andeems en Attack vun engem externen Host ausféiert, deen als Critère d'Ännerung vun der Äntwertzäit op Ufroen un den Ugräifer iwwer HTTP/1 an HTTP/2 Protokoller benotzt. D'Kapazitéit fir d'Attack auszeféieren ass bewisen fir Server baséiert op Linux a Windows.
Attacken op de Memory Deduplikatiounsmechanismus benotzen den Ënnerscheed an der Veraarbechtungszäit vun enger Schreifoperatioun als Kanal fir Informatioun a Situatiounen ze lecken, wou eng Ännerung vun Daten zum Klonen vun enger deduplizéierter Erënnerungssäit mam Copy-On-Write (COW) Mechanismus féiert . Wärend der Operatioun erkennt de Kernel identesch Erënnerungssäiten aus verschiddene Prozesser a fusionéiert se, kartéiert identesch Erënnerungssäiten an ee Gebitt vu kierperlecher Erënnerung fir nëmmen eng Kopie ze späicheren. Wann ee vun de Prozesser probéiert d'Donnéeën ze änneren, déi mat deduplizéierte Säiten verbonne sinn, geschitt eng Ausnam (Säitfehler) an, andeems Dir de Copy-On-Write Mechanismus benotzt, gëtt automatesch eng separat Kopie vun der Erënnerungssäit erstallt, déi dem Prozess zougewisen ass. Zousätzlech Zäit gëtt verbruecht fir d'Kopie ofzeschléissen, wat en Zeeche ka sinn datt Datenännerunge mat engem anere Prozess stéieren.
D'Fuerscher hunn gewisen datt d'Verzögerungen, déi aus dem COW-Mechanismus entstinn, net nëmme lokal erfaasst kënne ginn, awer och duerch d'Analyse vun Ännerungen an der Äntwert Liwwerzäiten iwwer dem Netz. Verschidde Methode goufen proposéiert fir den Inhalt vun der Erënnerung vun engem Fernhost ze bestëmmen andeems d'Ausféierungszäit vun Ufroen iwwer HTTP/1 an HTTP/2 Protokoller analyséiert gëtt. Fir ausgewielte Templates ze späicheren, gi Standard Webapplikatiounen benotzt, déi d'Informatioun späicheren, déi an Ufroen an der Erënnerung kritt gëtt.
D'allgemeng Prinzip vun der Attack boils erof op eng Erënnerung Säit op de Server mat Donnéeën ze fëllen, déi potenziell den Inhalt vun enger Erënnerung Säit widderholl schonn op de Server existéieren. Den Ugräifer waart dann op d'Zäit déi néideg ass fir de Kernel fir d'Erënnerungssäit ze deduplizéieren an ze fusionéieren, ännert dann déi kontrolléiert Duplikatdaten an evaluéiert d'Äntwertzäit fir ze bestëmmen ob den Hit erfollegräich war.
Wärend den Experimenter war de maximalen Informatiounsleckquote 34.41 Bytes pro Stonn beim Attack duerch e globalt Netzwierk an 302.16 Bytes pro Stonn wann een duerch e lokalen Netzwierk attackéiert, wat méi séier ass wéi aner Methoden fir Daten duerch Drëtt-Partei Channels ze extrahieren (zum Beispill, bei engem NetSpectre-Attack ass den Datenübertragungsquote 7.5 Bytes um XNUMX Auer).
Dräi schaffen Attack Optiounen goufen proposéiert. Déi éischt Optioun erlaabt Iech d'Donnéeën an der Erënnerung vum Webserver ze bestëmmen deen Memcached benotzt. D'Attack geet erof fir bestëmmte Sätz vun Daten an Memcached Späicheren ze lueden, de deduplizéierte Block ze läschen, datselwecht Element nei ze schreiwen an eng Konditioun ze kreéieren fir d'COW Kopie ze maachen andeems den Inhalt vum Block geännert gëtt. Wärend dem Experiment mat Memcached war et méiglech an 166.51 Sekonnen d'Versioun vu libc ze bestëmmen déi op engem System an enger virtueller Maschinn installéiert ass.
Déi zweet Optioun huet et méiglech gemaach den Inhalt vun de Rekorder an der MariaDB DBMS erauszefannen, wann Dir InnoDB Späichere benotzt, andeems Dir den Inhalt Byte fir Byte nei erstallt. D'Attack gëtt duerch d'Schécken vun speziell modifizéierten Ufroen duerchgefouert, wat zu Single-Byte Mëssverständis an Erënnerungssäiten resultéiert an d'Äntwertzäit analyséiert fir festzestellen datt d'Schold iwwer den Inhalt vum Byte richteg war. Den Taux vun esou engem Leck ass niddereg a belafe sech op 1.5 Bytes pro Stonn wann Dir aus engem lokalen Netzwierk attackéiert. De Virdeel vun der Method ass datt et ka benotzt ginn fir onbekannt Erënnerungsinhalter ze recuperéieren.
Déi drëtt Optioun huet et méiglech gemaach de KASLR-Schutzmechanismus an 4 Minutten komplett ëmzegoen an Informatiounen iwwer d'Erënnerungsoffset vum virtuelle Maschinnkernelbild ze kréien, an enger Situatioun wou d'Offsetadress an enger Erënnerungssäit ass, an där aner Daten net änneren. D'Attack gouf vun engem Host duerchgefouert, deen 14 Hopfen aus dem attackéierte System läit. Code Beispiller fir d'Ëmsetzung vun den presentéierten Attacke ginn versprach op GitHub publizéiert ze ginn.
Source: opennet.ru