מייַהעם - זיקאָרן ביסל קאָרופּציע באַפאַלן צו בייפּאַס סודאָ און OpenSSH אָטענטאַקיישאַן

פאָרשער פון Worcester Polytechnic Institute (USA) האָבן באַקענענ אַ נייַע טיפּ פון מייַהעם באַפאַלן וואָס ניצט די Rowhammer דינאַמיש באַראַן ביסל דיסטאָרשאַן טעכניק צו טוישן די וואַלועס פון סטאַק וועריאַבאַלז געניצט ווי פלאַגס אין דעם פּראָגראַם צו באַשליסן צי אָטענטאַקיישאַן און זיכערהייט טשעקס האָבן דורכגעגאנגען. פּראַקטיש ביישפילן פון די באַפאַלן זענען דעמאַנסטרייטיד צו בייפּאַס אָטענטאַקיישאַן אין SUDO, OpenSSH און MySQL, ווי געזונט ווי צו טוישן די רעזולטאַט פון זיכערהייט-פֿאַרבונדענע טשעקס אין די OpenSSL ביבליאָטעק.

די באַפאַלן קענען זיין געווענדט צו אַפּלאַקיישאַנז וואָס נוצן טשעקס צו פאַרגלייַכן וואַלועס וואָס זענען אַנדערש פון נול. בייַשפּיל פון שפּירעוודיק קאָד: int auth = 0; ... // וועראַפאַקיישאַן קאָד אַז ענדערונגען די אַוטה ווערט אין פאַל פון מצליח אָטענטאַקיישאַן אויב (אַוטה != 0) צוריקקומען AUTH_SUCCESS; אַנדערש צוריקקומען AUTH_FAILURE;

אין דעם קאָנטעקסט פון דעם ביישפּיל, פֿאַר אַ געראָטן באַפאַלן, עס איז גענוג צו פאַרדאָרבן קיין ביסל אין די זיקאָרן פֿאַרבונדן מיט די 32-ביסל אַוטהאַבלע אויף דעם אָנלייגן. אויב קיין ביסל אין די בייַטעוודיק איז פארדארבן, די ווערט וועט ניט מער זיין נול און די קאַנדישאַנאַל אָפּעראַטאָר וועט באַשליסן די מצליח קאַמפּלישאַן פון אָטענטאַקיישאַן. אַזאַ וואַלאַדיישאַן פּאַטערנז זענען גאַנץ פּראָסט אין אַפּלאַקיישאַנז און זענען געפֿונען, למשל, אין SUDO, OpenSSH, MySQL און OpenSSL.

די באַפאַלן קענען אויך זיין געווענדט צו קאַמפּעראַסאַנז פון די פאָרעם "אויב (אַוטה == 1)", אָבער אין דעם פאַל די ימפּלאַמענטיישאַן ווערט מער קאָמפּליצירט, ווייַל עס איז נייטיק צו פאַרקרימען ניט קיין ביסל פון 32, אָבער די לעצטע ביסל. דער אופֿן קענען אויך זיין געוויינט צו השפּעה אויף די וואַלועס פון וועריאַבאַלז אין פּראַסעסער רעדזשיסטערז, ווייַל די אינהאַלט פון די רעדזשיסטערז קענען זיין טעמפּערעראַלי פלאַשט אויף די אָנלייגן ווען אַ קאָנטעקסט באַשטימען, פונקציע רופן אָדער סיגנאַל האַנדלער פירעס. בעשאַס די צייט ווען רעגיסטרירט וואַלועס זענען אין זכּרון, דיסטאָרשאַנז קענען זיין ינטראָודוסט אין דעם זכּרון און די טשיינדזשד ווערט וועט זיין געזונט אין די רעגיסטרירן.

צו פאַרקרימען די ביטן, איינער פון די מאָדיפיקאַטיאָנס פון די RowHammer קלאַס באַפאַלן איז געניצט. זינט DRAM זכּרון איז אַ צוויי-דימענשאַנאַל מענגע פון ​​​​סעלז, יעדער קאַנסיסטינג פון אַ קאַפּאַסאַטער און אַ טראַנזיסטאָר, פּערפאָרמינג קעסיידערדיק לייענען פון דער זעלביקער זכּרון געגנט, ריזאַלטינג אין וואָולטידזש פלאַקטשויישאַנז און אַנאַמאַליז וואָס פאַרשאַפן אַ קליין אָנווער פון אָפּצאָל אין ארומיקע סעלז. אויב די לייענען ינטענסיטי איז הויך, די ארומיקע צעל קען פאַרלירן אַ גענוג גרויס סומע פון ​​אָפּצאָל און דער ווייַטער רידזשענעריישאַן ציקל וועט נישט האָבן צייט צו ומקערן זייַן אָריגינעל שטאַט, וואָס וועט פירן צו אַ ענדערונג אין די ווערט פון די דאַטן סטאָרד אין דער צעל. . צו באַשיצן קעגן RowHammer, שפּאָן מאַניאַפאַקטשערערז האָבן צוגעלייגט אַ TRR (Target Row Refresh) מעקאַניזאַם, וואָס בלאַקס צעל קאָרופּציע אין ספּעציעל קאַסעס, אָבער נישט באַשיצן קעגן אַלע מעגלעך באַפאַלן ווערייישאַנז.

צו באַשיצן קעגן די מייַהעם באַפאַלן, עס איז רעקאַמענדיד צו נוצן אין קאַמפּעראַסאַנז נישט אַן אָפּשאַצונג פון דיפעראַנסיז פון נול אָדער אַ צופאַל מיט איין, אָבער אַ גלייַכן טשעק מיט אַ טראַפ - זוימען ווערט מיט ניט-נול אָקטעץ. אין דעם פאַל, צו שטעלן די געוואלט ווערט פון די בייַטעוודיק, עס איז נייטיק צו אַקיעראַטלי פאַרקרימען אַ באַטייַטיק נומער פון ביטן, וואָס איז אַנריליסטיק, אין קאַנטראַסט צו די דיסטאָרשאַן פון איין ביסל. בייַשפּיל פון ניט-אַטאַקאַבאַל קאָד: int auth = 0xbe406d1a; ... // וועראַפאַקיישאַן קאָד וואָס שטעלט די אַוט ווערט צו 0x23ab8701 אין פאַל פון מצליח אָטענטאַקיישאַן אויב (אַוטה == 0x23ab8701) צוריקקומען AUTH_SUCCESS; אַנדערש צוריקקומען AUTH_FAILURE;

די ספּעסיפיעד שוץ אופֿן איז שוין געניצט דורך די סודאָ דעוועלאָפּערס און איז אַרייַנגערעכנט אין מעלדונג 1.9.15 ווי אַ פאַרריכטן פֿאַר די CVE-2023-42465 וואַלנעראַביליטי. זיי פּלאַנירן צו אַרויסגעבן אַ פּראָוטאַטייפּ פון די קאָד פֿאַר דורכפירן די באַפאַלן נאָך פיקסיז זענען געמאכט צו די הויפּט שפּירעוודיק פּראַדזשעקס.

מקור: opennet.ru