Група изследователи по сигурността, няколко от които участваха в откриването на първите уязвимости Meltdown и Spectre, разработи нов тип атака срещу канали на трети страни.
Тази атака извършва се въз основа на анализ на съдържанието на кеша на страници, който съдържа получена информация в резултат на достъпа на операционната система до дискове, SSD и други заключващи устройства.
За разлика от призрачните атаки, новата уязвимост не е причинена от хардуерни проблеми, но се отнася само за софтуерни реализации на кеша на страници и се проявява в Linux (CVE-2019 5489-), Windows и вероятно много други операционни системи.
Чрез манипулиране на системните повиквания mincore (Linux) и QueryWorkingSetEx (Windows), за да се определи наличието на страница с памет в кеша на системната страница, непривилегирован локален нападател може да проследи някои достъпи до паметта на други процеси.
Атаката ви позволява да проследявате достъпа на ниво блок 4 килобайта с разделителна способност от 2 микросекунди на Linux (6.7 измервания в секунда) и 446 наносекунди на Windows (223 измервания в секунда).
Кешът на страниците натрупва доста разнообразни данни, включително екстракти на изпълними файлове, споделени библиотеки, данни, заредени на диск, огледални файлове в паметта и друга информация, която обикновено се съхранява на диск и се използва от операционната система и приложенията.
За какво е тази атака?
Атаката се основава на факта, че всички процеси използват общ кеш на системната страница и наличието или липсата на информация в този кеш може да се определи чрез промяна на забавянето при четене на данни диск или се позовава на системните повиквания, споменати по-горе.
Кешираните страници могат да бъдат огледални в област на виртуална памет, използвана от множество процеси (например, само едно копие на споделена библиотека може да присъства във физическата памет, която се отразява във виртуална памет на различни приложения).
В процеса на превъртане на информацията от кеша на страницата и попълването й при зареждане на типични данни от диск, можете да анализирате състоянието на подобни страници във виртуалната памет на други приложения.
Системните повиквания mincore и QueryWorkingSetEx значително опростяват атаката, като ви позволяват незабавно да определите кои страници с памет от даден обхват на адресите присъстват в кеша на страниците.
Тъй като размерът на наблюдавания блок (4Kb) е твърде голям, за да се определи съдържанието на итерация, атаката може да се използва само за скрито предаване на данни.
Намаляване на силата на криптографските операции чрез проследяване на поведението на алгоритъма, оценка на типичните модели за достъп до паметта на известни процеси или наблюдение на напредъка на друг процес.
Оформлението на данните в паметта, с което е известен нападателят (Например, ако основното съдържание на буфера първоначално е известно по време на излизане от диалоговия прозорец за удостоверяване, можете да определите Arola въз основа на изнудващия символ по време на вашата потребителска намеса.)
Има ли решение срещу това?
ако, ако вече има решение от Linux Този тип изследвания помага да се открият проблеми, преди другите с вредни намерения да се възползват от тях.
За ядрото на Linux, решението вече е налично като кръпка, която вече е налична описани и документирани тук.
В случая на Windows 10 проблемът е отстранен в тестова компилация (Insider Preview Build) 18305.
Демонстрираните от изследователите практически приложения на атаката срещу локалната система включват създаване на канал за предаване на данни от изолирани изолирани среди, отдих на екранните интерфейсни елементи (например диалогови прозорци за удостоверяване), дефиниране на натискания на клавиши и възстановяване на автоматично генерирани временни пароли).