Група истраживача са Техничког универзитета у Грацу (Аустрија), раније позната по развоју МДС, НетСпецтре, Тхровхаммер и ЗомбиеЛоад напада, објавила је нову методу напада (ЦВЕ-2021-3714) путем канала треће стране на Мемори- Механизам дедупликације, који омогућава да се утврди присуство у меморији одређених података, цури садржај меморије бајт по бајт или да се дефинише распоред меморије како би се заобишла заштита од насумичне адресе (АСЛР). Нови метод се разликује од претходно демонстрираних варијанти напада на механизам дедупликације по томе што врши напад са спољног хоста користећи као критеријум промене времена одговора на захтеве које нападач шаље преко ХТТП/1 и ХТТП/2 протокола. Могућност извођења напада је демонстрирана за сервере засноване на Линук-у и Виндовс-у.
Напади на механизам за дедупликацију меморије користе разлику у времену обраде писања као канал за цурење информација у ситуацијама када промена података узрокује механизам копирања на уписивање (ЦОВ) да клонира страницу са дедуплицираном меморијом. Током рада, кернел детектује идентичне меморијске странице из различитих процеса и спаја их, мапирајући идентичне меморијске странице у једну област физичке меморије да би сачувао само једну копију. Када један од процеса покуша да промени податке повезане са дедуплицираним страницама, долази до изузетка (грешка странице) и коришћењем механизма Цопи-Он-Врите аутоматски се креира посебна копија меморијске странице, која се додељује процесу . Потребно је додатно време да се заврши копија, што може бити индикација да су подаци измењени другим процесом.
Истраживачи су показали да се кашњења која су резултат рада ЦОВ механизма могу ухватити не само локално, већ и анализом промене времена испоруке одговора преко мреже. Предложено је неколико метода за одређивање садржаја меморије са удаљеног хоста кроз анализу времена извршавања захтева преко ХТТП/1 и ХТТП/2 протокола. За чување изабраних шаблона користе се типичне веб апликације које чувају информације примљене у захтевима у меморију.
Општи принцип напада је да се меморијска страница на серверу напуни подацима који потенцијално понављају садржај меморијске странице која се већ налази на серверу. Нападач затим чека да кернел дедупира и споји меморијску страницу, затим модификује контролисани дупликат података и процени време одговора да би утврдио да ли је погодак био успешан.
Током експеримената, максимална стопа цурења информација била је 34.41 бајта на сат када се напада преко глобалне мреже и 302.16 бајтова на сат када се напада преко локалне мреже, што је брже од других метода издвајања података преко канала треће стране ( на пример, када се напада НетСпецтре, брзина преноса података је 7.5 бајтова на један сат).
Предлажу се три радне варијанте напада. Прва опција вам омогућава да одредите податке у меморији веб сервера који користи Мемцацхед. Напад се своди на учитавање одређених скупова података у Мемцацхед складиште, брисање дедуплицираног блока, поновно писање истог елемента и стварање услова за појаву ЦОВ копирања променом садржаја блока. Током експеримента са Мемцацхед-ом, било је потребно 166.51 секунди да се утврди верзија либц инсталиране на систему који ради у виртуелној машини.
Друга опција је омогућила да се сазна садржај записа у МариаДБ ДБМС, користећи ИнноДБ складиште, поновним креирањем садржаја бајт по бајт. Напад се врши слањем посебно модификованих захтева, што доводи до једнобајтних неподударања на меморијским страницама и анализом времена реакције како би се утврдило да је претпоставка о садржају бајта била тачна. Стопа таквог цурења је ниска и износи 1.5 бајтова на сат када се нападне са локалне мреже. Предност методе је у томе што се може користити за опоравак непознатог садржаја меморије.
Трећа опција је омогућила да се у потпуности заобиђе КАСЛР заштитни механизам за 4 минута и добије информација о офсету у меморији слике кернела виртуелне машине, у ситуацији када се адреса офсета налази на меморијској страници на којој други подаци не постоје. променити. Напад је изведен са домаћина који се налазио 14 скокова од нападнутог система. Обећано је да ће примери кодова за представљене нападе бити објављени на ГитХуб-у.
Извор: опеннет.ру