Eine Gruppe von Sicherheitsforschern, von denen einige an der Erkennung der ersten Meltdown- und Spectre-Schwachstellen beteiligt waren, entwickelte eine neue Art von Angriff auf Kanäle von Drittanbietern.
Dieser Angriff basierend auf der Analyse des Seitencache-Inhalts durchgeführt, die erhaltene Informationen enthält als Ergebnis des Betriebssystemzugriffs auf Festplatten, SSDs und andere Sperrvorrichtungen.
Im Gegensatz zu Spectre-Angriffen Die neue Sicherheitsanfälligkeit wird nicht durch Hardwareprobleme verursachtDies betrifft jedoch nur Softwareimplementierungen des Seitencaches und manifestiert sich in Linux (CVE-2019-5489), Windows und wahrscheinlich viele andere Betriebssysteme.
Durch Bearbeiten der Systemaufrufe mincore (Linux) und QueryWorkingSetEx (Windows), um das Vorhandensein einer Speicherseite im System-Seiten-Cache festzustellenkann ein nicht privilegierter lokaler Angreifer einige Speicherzugriffe anderer Prozesse verfolgen.
Mit dem Angriff können Sie den Zugriff auf Blockebene verfolgen 4 Kilobyte mit einer Zeitauflösung von 2 Mikrosekunden unter Linux (6.7 Messungen pro Sekunde) und 446 Nanosekunden unter Windows (223 Messungen pro Sekunde).
Der Seiten-Cache sammelt sehr unterschiedliche Daten, einschließlich ausführbarer Dateiextrakte, gemeinsam genutzter Bibliotheken, auf die Festplatte geladener Daten und gespiegelter Dateien im Speicher und andere Informationen, die im Allgemeinen auf der Festplatte gespeichert und vom Betriebssystem und den Anwendungen verwendet werden.
Worum geht es bei diesem Angriff?
Der Angriff basiert auf der Tatsache, dass alle Prozesse einen gemeinsamen Systemseiten-Cache verwenden und das Vorhandensein oder Fehlen von Informationen in diesem Cache durch Ändern der Verzögerung beim Lesen von Daten bestimmt werden kann Festplatte oder unter Bezugnahme auf die oben genannten Systemaufrufe.
Zwischengespeicherte Seiten können in einem virtuellen Speicherbereich gespiegelt werden, der von mehreren Prozessen verwendet wird (z. B. kann nur eine Kopie einer gemeinsam genutzten Bibliothek im physischen Speicher vorhanden sein, der im virtuellen Speicher verschiedener Anwendungen gespiegelt wird).
Während Sie die Informationen aus dem Seitencache scrollen und beim Laden typischer Daten von einer Festplatte auffüllen, Sie können den Status ähnlicher Seiten im virtuellen Speicher anderer Anwendungen analysieren.
Die Systemaufrufe mincore und QueryWorkingSetEx vereinfachen einen Angriff erheblich, da Sie sofort feststellen können, welche Speicherseiten aus einem bestimmten Adressbereich im Seitencache vorhanden sind.
Da der überwachte Block (4 KB) zu groß ist, um den Inhalt pro Iteration zu bestimmen, kann der Angriff nur für die verdeckte Datenübertragung verwendet werden.
Reduzieren der Stärke kryptografischer Operationen durch Verfolgen des Algorithmusverhaltens, Auswerten typischer Speicherzugriffsmuster bekannter Prozesse oder Überwachen des Fortschritts eines anderen Prozesses.
Das Layout der Daten im Speicher, unter denen der Angreifer bekannt ist (Wenn beispielsweise der grundlegende Inhalt des Puffers zum Zeitpunkt des Beenden des Authentifizierungsdialogs anfänglich bekannt ist, können Sie Arola anhand des Erpressungssymbols während Ihres Benutzereingriffs bestimmen.)
Gibt es eine Lösung dagegen?
Sie, wenn es schon eine lösung von Linux gibt und es ist so, dass diese Art der Untersuchung hilft, Probleme zu erkennen, bevor andere mit schädlichen Absichten sie ausnutzen.
Für den Linux-Kernel Die Lösung ist bereits als Patch verfügbar, der bereits verfügbar ist beschrieben und hier dokumentiert.
Im Fall von Windows 10 wurde das Problem in einem Testbuild (Insider Preview Build) 18305 behoben.
Zu den praktischen Anwendungen des von den Forschern demonstrierten Angriffs auf das lokale System gehören die Erstellung eines Datenübertragungskanals aus isolierten isolierten Umgebungen, die Neuerstellung von Elementen der Bildschirmschnittstelle (z. B. Authentifizierungsdialoge), die Definition von Tastenanschlägen und die Wiederherstellung von automatisch generierte temporäre Passwörter).