Um grupo de pesquisadores da Vrije Universiteit Amsterdam e da ETH Zurich desenvolveu uma técnica de ataque à rede (Network Cache ATtack), que permite, através de métodos de análise de dados através de canais de terceiros, determinar remotamente as teclas pressionadas pelo usuário durante o trabalho em uma sessão SSH. O problema só aparece em servidores que utilizam tecnologias (Acesso remoto direto à memória) e (E/S direta de dados).
Intel , que o ataque é difícil de implementar na prática, pois requer o acesso do invasor à rede local, condições estéreis e a organização da comunicação do host utilizando tecnologias RDMA e DDIO, que normalmente são utilizadas em redes isoladas, por exemplo, em que a computação os clusters operam. O problema é classificado como Menor (CVSS 2.6, ) e é dada uma recomendação para não habilitar DDIO e RDMA em redes locais onde o perímetro de segurança não é fornecido e a conexão de clientes não confiáveis é permitida. O DDIO tem sido usado em processadores para servidores Intel desde 2012 (Intel Xeon E5, E7 e SP). Sistemas baseados em processadores AMD e de outros fabricantes não são afetados pelo problema, pois não suportam o armazenamento de dados transferidos pela rede no cache da CPU.
O método utilizado para o ataque se assemelha a uma vulnerabilidade "“, que permite alterar o conteúdo de bits individuais na RAM por meio da manipulação de pacotes de rede em sistemas com RDMA. O novo problema é consequência do trabalho para minimizar atrasos na utilização do mecanismo DDIO, que garante a interação direta da placa de rede e demais dispositivos periféricos com o cache do processador (no processo de processamento dos pacotes da placa de rede, os dados são armazenados no cache e recuperado do cache, sem acessar a memória).
Graças ao DDIO, o cache do processador também inclui dados gerados durante atividades maliciosas na rede. O ataque NetCAT é baseado no fato de que as placas de rede armazenam ativamente os dados em cache, e a velocidade de processamento de pacotes nas redes locais modernas é suficiente para influenciar o preenchimento do cache e determinar a presença ou ausência de dados no cache analisando atrasos durante os dados. transferir.
Ao usar sessões interativas, como via SSH, o pacote de rede é enviado imediatamente após a tecla ser pressionada, ou seja, atrasos entre pacotes se correlacionam com atrasos entre pressionamentos de tecla. Utilizando métodos de análise estatística e tendo em conta que os atrasos entre as teclas normalmente dependem da posição da tecla no teclado, é possível recriar a informação introduzida com uma certa probabilidade. Por exemplo, a maioria das pessoas tende a digitar “s” depois de “a” muito mais rápido do que “g” depois de “s”.
As informações depositadas no cache do processador também permitem avaliar o tempo exato dos pacotes enviados pela placa de rede ao processar conexões como SSH. Ao gerar um determinado fluxo de tráfego, um invasor pode determinar o momento em que novos dados aparecem no cache associados a uma atividade específica do sistema. Para analisar o conteúdo do cache, é utilizado o método , que envolve preencher o cache com um conjunto de valores de referência e medir o tempo de acesso a eles quando repovoado para determinar alterações.
É possível que a técnica proposta possa ser utilizada para determinar não apenas as teclas digitadas, mas também outros tipos de dados confidenciais depositados no cache da CPU. O ataque pode potencialmente ser realizado mesmo se o RDMA estiver desativado, mas sem o RDMA a sua eficácia é reduzida e a execução torna-se significativamente mais difícil. Também é possível usar DDIO para organizar um canal de comunicação secreto usado para transferir dados após um servidor ter sido comprometido, contornando os sistemas de segurança.
Fonte: opennet.ru