Biztonsági kutatók egy csoportja, amelyek közül többen részt vettek az első Meltdown és Spectre sebezhetőségek felderítésében, új típusú támadást fejlesztett ki harmadik felek csatornáival szemben.
Ez a támadás az oldal gyorsítótár tartalomelemzése alapján hajtják végre, amely a megszerzett információkat tartalmazza az operációs rendszer hozzáférése a lemezekhez, SSD-khez és más zárszerkezetekhez.
A Spectre támadásoktól eltérően az új sebezhetőséget nem hardverproblémák okozzák, de csak az oldal gyorsítótárának szoftveres megvalósítására vonatkozik és Linuxban nyilvánul meg (CVE-2019 5489-), Windows és valószínűleg sok más operációs rendszer.
A mincore (Linux) és a QueryWorkingSetEx (Windows) rendszerhívások manipulálásával meghatározhatja a memóriaoldal jelenlétét a rendszeroldal gyorsítótárában, egy kiváltságtalan helyi támadó nyomon tudja követni más folyamatok memóriaeléréseit.
A támadás lehetővé teszi a hozzáférés blokk szintű nyomon követését 4 kilobájt 2 mikroszekundum időfelbontással Linux alatt (6.7 mérés másodpercenként) és 446 nanoszekundum Windows rendszeren (223 mérés másodpercenként).
Az oldal gyorsítótárban meglehetősen sokféle adat halmozódik fel, beleértve a futtatható fájlkivonatokat, a megosztott könyvtárakat, a lemezre töltött adatokat, a tükrözött fájlokat a memóriában és egyéb információk, amelyeket általában a lemezen tárolnak, és amelyeket az operációs rendszer és az alkalmazások használnak.
Miről szól ez a támadás?
A támadás azon a tényen alapul, hogy minden folyamat közös rendszeroldali gyorsítótárat használ, és az információ jelenléte vagy hiánya ebben a gyorsítótárban meghatározható az adatok olvasásának késedelmének megváltoztatásával lemezre vagy a fent említett rendszerhívásokra hivatkozva.
A gyorsítótárazott oldalak tükröződhetnek a virtuális memória azon területén, amelyet több folyamat használ (például a megosztott könyvtárnak csak egy példánya lehet a fizikai memóriában, amely a különböző alkalmazások virtuális memóriájában tükröződik).
Az oldalgyorsítótár-információk görgetése és tipikus adatok lemezről történő betöltése során feltölti azokat, elemezheti a hasonló oldalak állapotát más alkalmazások virtuális memóriájában.
A mincore és a QueryWorkingSetEx rendszerhívások jelentősen leegyszerűsítik a támadást azáltal, hogy lehetővé teszik, hogy azonnal meghatározza, hogy az adott címtartomány melyik memóriaoldalai vannak az oldal gyorsítótárában.
Mivel a megfigyelt blokk mérete (4Kb) túl nagy a tartalom iterációnkénti meghatározásához, a támadás csak rejtett adatátvitelre használható.
A kriptográfiai műveletek erősségének csökkentése az algoritmus viselkedésének nyomon követésével, az ismert folyamatok tipikus memóriaelérési mintáinak kiértékelésével vagy egy másik folyamat előrehaladásának figyelemmel kísérésével.
A memóriában lévő adatok elrendezése, amely alapján a támadó ismert (Például, ha a puffer alapvető tartalma kezdetben ismert a kilépéskor a hitelesítési párbeszédpanelen, akkor a felhasználó beavatkozása során meghatározhatja az Arolát a zsarolás szimbóluma alapján)
Van megoldás ez ellen?
ha ha már van megoldás Linuxról és ez az a fajta vizsgálat segít a problémák felderítésében, mielőtt káros szándékú mások kihasználnák azokat.
A Linux kernelhez a megoldás már javításként is elérhető, amely már elérhető leírt és itt dokumentálva.
A Windows 10 esetében a problémát egy tesztépítésben (Insider Preview Build) 18305 javították.
A helyi rendszer elleni támadásnak a kutatók által bemutatott gyakorlati alkalmazásai közé tartozik az adatátviteli csatorna létrehozása elszigetelt, elszigetelt környezetekből, a képernyőn megjelenő interfész elemek újrateremtése (például hitelesítési párbeszédpanelek), a billentyűleütések meghatározása és automatikusan generált ideiglenes jelszavak).