En gruppe sikkerhetsforskerehvorav flere deltok i oppdagelsen av den første Meltdown- og Spectre-sårbarheten, utviklet en ny type angrep på tredjepartskanaler.
Dette angrepet utført basert på innholdsanalyse for hurtigbuffer av sider, som inneholder innhentet informasjon som et resultat av operativsystemtilgang til disker, SSD-er og andre låseenheter.
I motsetning til Spectre-angrep, den nye sårbarheten er ikke forårsaket av maskinvareproblemer, men gjelder bare programvareimplementeringer av sidecache og manifesterer seg i Linux (CVE-2019-5489), Windows og sannsynligvis mange andre operativsystemer.
Ved å manipulere mincore (Linux) og QueryWorkingSetEx (Windows) systemanrop for å bestemme tilstedeværelsen av en minneside i systemsiden cache, kan en uprivilegert lokal angriper spore noe minnetilgang til andre prosesser.
Angrepet lar deg spore tilgang på blokknivå 4 kilobyte med en tidsoppløsning på 2 mikrosekunder på Linux (6.7 målinger per sekund) og 446 nanosekunder på Windows (223 målinger per sekund).
Sidebuffer akkumulerer ganske forskjellige data, inkludert kjørbare filekstrakter, delte biblioteker, data lastet til disk, speilvendte filer i minnet og annen informasjon som vanligvis lagres på disken og brukes av operativsystemet og applikasjonene.
Hva handler dette angrepet om?
Angrepet er basert på det faktum at alle prosesser bruker en felles systemside-hurtigbuffer, og tilstedeværelsen eller fraværet av informasjon i denne hurtigbufferen kan bestemmes ved å endre forsinkelsen i å lese data disk eller refererer til systemanropene nevnt ovenfor.
Bufrede sider kan speiles i et område med virtuelt minne som brukes av flere prosesser (for eksempel kan bare en kopi av et delt bibliotek være til stede i det fysiske minnet, som speiles i det virtuelle minnet til forskjellige applikasjoner).
I ferd med å bla informasjonen fra sidebufferen og fylle den ut når du laster inn typiske data fra en disk, du kan analysere statusen til lignende sider i det virtuelle minnet til andre applikasjoner.
Mincore- og QueryWorkingSetEx-systemanropene forenkler et angrep i stor grad ved at du umiddelbart kan bestemme hvilke minnesider fra et gitt adresseområde som er tilstede i sidebufferen.
Siden størrelsen på den overvåkede blokken (4Kb) er for stor til å bestemme innholdet per iterasjon, kan angrepet bare brukes til skjult dataoverføring.
Redusere styrken til kryptografiske operasjoner ved å spore algoritmeatferd, evaluere typiske minnetilgangsmønstre for kjente prosesser eller overvåke fremdriften til en annen prosess.
Oppsettet av dataene i minnet som angriperen er kjent for (For eksempel, hvis det grunnleggende innholdet i bufferen i utgangspunktet er kjent på tidspunktet for utgangen fra autentiseringsdialogen, kan du bestemme Arola basert på utpressingssymbolet under din brukerintervensjon).
Er det en løsning mot dette?
Ja, hvis det allerede finnes en løsning fra Linux og det er at denne typen undersøkelser hjelper til med å oppdage problemer før andre med skadelige intensjoner benytter seg av dem.
For Linux-kjernen, løsningen er allerede tilgjengelig som en patch, som allerede er tilgjengelig beskrevet og dokumentert her.
I tilfelle Windows 10 ble problemet løst i en testbygging (Insider Preview Build) 18305.
De praktiske anvendelsene av angrepet på det lokale systemet demonstrert av forskerne inkluderer oppretting av en dataoverføringskanal fra isolerte isolerte miljøer, rekreasjon av skjermgrensesnittelementer (for eksempel autentiseringsdialoger), definisjon av tastetrykk og gjenoppretting av automatisk genererte midlertidige passord).