Um grupo de pesquisadores de segurança, vários dos quais participaram da detecção das primeiras vulnerabilidades Meltdown e Spectre, desenvolveu um novo tipo de ataque a canais de terceiros.
este ataque realizada com base na análise de conteúdo do cache da página, que contém informações obtidas como resultado do acesso do sistema operacional a discos, SSDs e outros dispositivos de bloqueio.
Ao contrário dos ataques de Espectro, a nova vulnerabilidade não é causada por problemas de hardware, mas só se refere a implementações de software do cache de página e se manifesta em Linux (CVE-2019-5489), Windows e provavelmente muitos outros sistemas operacionais.
Manipulando as chamadas de sistema mincore (Linux) e QueryWorkingSetEx (Windows) para determinar a presença de uma página de memória no cache de página do sistema, um invasor local sem privilégios pode rastrear alguns acessos à memória de outros processos.
O ataque permite que você rastreie o acesso no nível do bloco 4 kilobytes com uma resolução de tempo de 2 microssegundos no Linux (6.7 medições por segundo) e 446 nanossegundos no Windows (223 medições por segundo).
O cache de página acumula dados bastante diversos, incluindo extrações de arquivos executáveis, bibliotecas compartilhadas, dados carregados no disco, arquivos espelhados na memória e outras informações que geralmente são armazenadas em disco e usadas pelo sistema operacional e aplicativos.
Sobre o que é esse ataque?
Ataque baseia-se no fato de que todos os processos usam um cache de página do sistema comum e a presença ou ausência de informações neste cache pode ser determinada alterando o atraso na leitura dos dados disco ou referindo-se às chamadas de sistema mencionadas acima.
As páginas em cache podem ser espelhadas em uma área da memória virtual usada por vários processos (por exemplo, apenas uma cópia de uma biblioteca compartilhada pode estar presente na memória física, que é espelhada na memória virtual de diferentes aplicativos).
No processo de rolar as informações do cache da página e preenchê-lo ao carregar dados típicos de um disco, você pode analisar o status de páginas semelhantes na memória virtual de outros aplicativos.
As chamadas de sistema mincore e QueryWorkingSetEx simplificam muito um ataque, permitindo que você determine imediatamente quais páginas de memória de um determinado intervalo de endereços estão presentes no cache de página.
Como o tamanho do bloco monitorado (4Kb) é muito grande para determinar o conteúdo por iteração, o ataque só pode ser usado para transmissão secreta de dados.
Reduzir a força das operações criptográficas rastreando o comportamento do algoritmo, avaliando os padrões típicos de acesso à memória de processos conhecidos ou monitorando o progresso de outro processo.
O layout dos dados na memória pelos quais o invasor é conhecido (Por exemplo, se o conteúdo básico do buffer é conhecido inicialmente no momento da saída da caixa de diálogo de autenticação, você pode determinar o Arola com base no símbolo de extorsão durante a intervenção do usuário).
Existe uma solução contra isso?
Sim, se já existe uma solução do Linux Esse tipo de pesquisa ajuda a detectar problemas antes que outras pessoas com intenções prejudiciais se aproveitem deles.
Para o kernel Linux, a solução já está disponível como patch, que já está disponível descrito e documentado aqui.
No caso do Windows 10, o problema foi corrigido em uma compilação de teste (Insider Preview Build) 18305.
As aplicações práticas do ataque ao sistema local demonstradas pelos pesquisadores incluem a criação de um canal de transmissão de dados de ambientes isolados isolados, a recriação de elementos de interface na tela (por exemplo, diálogos de autenticação), a definição de pressionamentos de tecla e recuperação de senhas temporárias geradas automaticamente).