Skupina bezpečnostních výzkumníků, z nichž několik se podílelo na detekci prvních zranitelností Meltdown a Spectre, vyvinuli nový typ útoku na kanály třetích stran.
Tento útok provedeno na základě analýzy obsahu mezipaměti stránky, který obsahuje získané informace v důsledku přístupu operačního systému k diskům, SSD a dalším uzamykacím zařízením.
Na rozdíl od útoků Spectre nová chyba zabezpečení není způsobena hardwarovými problémy, ale týká se pouze softwarových implementací mezipaměti stránek a projevuje se v Linuxu (CVE-2019-5489), Windows a pravděpodobně mnoho dalších operačních systémů.
Manipulací se systémovými voláními mincore (Linux) a QueryWorkingSetEx (Windows) k určení přítomnosti stránky paměti v mezipaměti systémových stránek, neprivilegovaný místní útočník může sledovat některé přístupy do paměti jiných procesů.
Útok umožňuje sledovat přístup na úrovni bloku 4 kilobajty s časovým rozlišením 2 mikrosekundy v systému Linux (6.7 měření za sekundu) a 446 nanosekund v systému Windows (223 měření za sekundu).
Mezipaměť stránek shromažďuje poměrně různorodá data, včetně extraktů spustitelných souborů, sdílených knihoven, dat načtených na disk, zrcadlených souborů v paměti a další informace, které se obvykle ukládají na disk a používají je operační systém a aplikace.
O čem je tento útok?
Útok je založen na skutečnosti, že všechny procesy používají společnou mezipaměť systémových stránek a přítomnost nebo nepřítomnost informací v této mezipaměti lze určit změnou zpoždění čtení dat disk nebo odkaz na výše uvedená systémová volání.
Stránky v mezipaměti lze zrcadlit v oblasti virtuální paměti používané více procesy (například ve fyzické paměti může být přítomna pouze jedna kopie sdílené knihovny, která se zrcadlí ve virtuální paměti různých aplikací).
V procesu posouvání informací z mezipaměti stránky a jejich vyplňování při načítání typických dat z disku můžete analyzovat stav podobných stránek ve virtuální paměti jiných aplikací.
Systémová volání mincore a QueryWorkingSetEx výrazně zjednodušují útok tím, že vám umožňují okamžitě určit, které stránky paměti z daného rozsahu adres jsou v mezipaměti stránek.
Vzhledem k tomu, že velikost monitorovaného bloku (4Kb) je příliš velká na to, aby určila obsah na iteraci, lze útok použít pouze pro skrytý přenos dat.
Snížení síly kryptografických operací sledováním chování algoritmu, hodnocením typických vzorů přístupu do paměti známých procesů nebo sledováním pokroku jiného procesu.
Rozložení dat v paměti, podle kterého je útočník znám (Například pokud je základní obsah vyrovnávací paměti původně znám v době ukončení z dialogového okna ověřování, můžete během svého zásahu uživatele určit Arola na základě symbolu vydírání.)
Existuje řešení proti tomu?
Ano, pokud již existuje řešení z Linuxu Tento typ výzkumu pomáhá odhalit problémy dříve, než je ostatní s škodlivými úmysly využijí.
U linuxového jádra řešení je již k dispozici jako oprava, která je již k dispozici popsáno a zdokumentováno zde.
V případě Windows 10 byl problém vyřešen v testovací verzi (Insider Preview Build) 18305.
Mezi praktické aplikace útoku na místní systém, které vědci prokázali, patří vytvoření kanálu pro přenos dat z izolovaných izolovaných prostředí, opakování prvků rozhraní na obrazovce (například autentizačních dialogů), definice stisků kláves a obnova automaticky generovaná dočasná hesla).