Un gruppo di ricercatori sulla sicurezza, molti dei quali hanno partecipato al rilevamento delle prime vulnerabilità di Meltdown e Spectre, ha sviluppato un nuovo tipo di attacco su canali di terze parti.
Questo attacco eseguito in base all'analisi del contenuto della cache della pagina, che contiene le informazioni ottenute come risultato dell'accesso del sistema operativo a dischi, SSD e altri dispositivi di blocco.
A differenza degli attacchi Spectre, la nuova vulnerabilità non è causata da problemi hardware, ma riguarda solo le implementazioni software della cache della pagina e si manifesta in Linux (CVE-2019-5489), Windows e probabilmente molti altri sistemi operativi.
Manipolando le chiamate di sistema mincore (Linux) e QueryWorkingSetEx (Windows) per determinare la presenza di una pagina di memoria nella cache della pagina di sistema, un utente malintenzionato locale senza privilegi può tracciare alcuni accessi alla memoria di altri processi.
L'attacco consente di monitorare l'accesso a livello di blocco 4 kilobyte con una risoluzione temporale di 2 microsecondi su Linux (6.7 misurazioni al secondo) e 446 nanosecondi su Windows (223 misurazioni al secondo).
La cache della pagina accumula dati abbastanza diversi, inclusi estratti di file eseguibili, librerie condivise, dati caricati su disco, file con mirroring in memoria e altre informazioni generalmente archiviate su disco e utilizzate dal sistema operativo e dalle applicazioni.
Di cosa tratta questo attacco?
L'attacco si basa sul fatto che tutti i processi utilizzano una cache delle pagine di sistema comune e la presenza o l'assenza di informazioni in questa cache può essere determinata modificando il ritardo nella lettura dei dati disk o facendo riferimento alle chiamate di sistema sopra menzionate.
È possibile eseguire il mirroring delle pagine memorizzate nella cache in un'area di memoria virtuale utilizzata da più processi (ad esempio, solo una copia di una libreria condivisa può essere presente nella memoria fisica, che viene replicata nella memoria virtuale di diverse applicazioni).
Durante il processo di scorrimento delle informazioni della cache della pagina e di popolamento durante il caricamento di dati tipici da un disco, è possibile analizzare lo stato di pagine simili nella memoria virtuale di altre applicazioni.
Le chiamate di sistema mincore e QueryWorkingSetEx semplificano notevolmente un attacco consentendo di determinare immediatamente quali pagine di memoria da un determinato intervallo di indirizzi sono presenti nella cache delle pagine.
Poiché la dimensione del blocco monitorato (4Kb) è troppo grande per determinare il contenuto per iterazione, l'attacco può essere utilizzato solo per la trasmissione di dati nascosti.
Riduzione della forza delle operazioni crittografiche monitorando il comportamento degli algoritmi, valutando i modelli di accesso alla memoria tipici dei processi noti o monitorando l'avanzamento di un altro processo.
Il layout dei dati in memoria con cui è noto l'aggressore (Ad esempio, se i contenuti di base del buffer sono inizialmente noti al momento dell'uscita dalla finestra di dialogo di autenticazione, è possibile determinare Arola in base al simbolo di estorsione durante l'intervento dell'utente.)
C'è una soluzione contro questo?
Si, se esiste già una soluzione da Linux Questo tipo di ricerca aiuta a rilevare i problemi prima che altri con intenzioni dannose ne traggano vantaggio.
Per il kernel Linux, la soluzione è già disponibile come patch, che è già disponibile descritto e documentato qui.
Nel caso di Windows 10, il problema è stato risolto in una build di prova (Insider Preview Build) 18305.
Le applicazioni pratiche dell'attacco al sistema locale dimostrate dai ricercatori includono la creazione di un canale di trasmissione dati da ambienti isolati isolati, la ricreazione di elementi di interfaccia su schermo (ad esempio, dialoghi di autenticazione), la definizione di battiture e il ripristino di password temporanee generate automaticamente).