Un grup de cercetători în domeniul securității, dintre care mai mulți au participat la detectarea primelor vulnerabilități Meltdown și Spectre, a dezvoltat un nou tip de atac pe canale terțe.
Acest atac efectuat pe baza analizei conținutului cache-pagină, care conține informații obținute ca urmare a accesului sistemului de operare la discuri, SSD-uri și alte dispozitive de blocare.
Spre deosebire de atacurile Spectre, noua vulnerabilitate nu este cauzată de probleme hardware, dar se referă doar la implementările software ale cache-ului paginii și se manifestă în Linux (CVE-2019-5489), Windows și probabil multe alte sisteme de operare.
Prin manipularea apelurilor de sistem mincore (Linux) și QueryWorkingSetEx (Windows) pentru a determina prezența unei pagini de memorie în memoria cache a paginii de sistem, un atacator local fără privilegii poate urmări unele accesări de memorie ale altor procese.
Atacul vă permite să urmăriți accesul la nivel de bloc 4 kilobyți cu o rezoluție de timp de 2 microsecunde pe Linux (6.7 măsurători pe secundă) și 446 nanosecunde pe Windows (223 măsurători pe secundă).
Memoria cache a paginii acumulează date destul de diverse, inclusiv extrase de fișiere executabile, biblioteci partajate, date încărcate pe disc, fișiere oglindite în memorie și alte informații care sunt în general stocate pe disc și utilizate de sistemul de operare și aplicații.
Despre ce este acest atac?
Atacul se bazează pe faptul că toate procesele folosesc o memorie cache de pagină de sistem comună și prezența sau absența informațiilor în această memorie cache poate fi determinată prin schimbarea întârzierii în citirea datelor disc sau referindu-se la apelurile de sistem menționate mai sus.
Pagini cache pot fi oglindite într-o zonă de memorie virtuală utilizată de mai multe procese (de exemplu, o singură copie a unei biblioteci partajate poate fi prezentă în memoria fizică, care este oglindită în memoria virtuală a diferitelor aplicații).
În procesul de derulare a informațiilor din memoria cache a paginii și completarea acestora atunci când încărcați date tipice de pe un disc, puteți analiza starea paginilor similare din memoria virtuală a altor aplicații.
Apelurile de sistem mincore și QueryWorkingSetEx simplifică mult un atac, permițându-vă să determinați imediat ce pagini de memorie dintr-un anumit interval de adrese sunt prezente în memoria cache a paginilor.
Deoarece dimensiunea blocului monitorizat (4Kb) este prea mare pentru a determina conținutul pe iterație, atacul poate fi utilizat numai pentru transmiterea de date ascunse.
Reducerea puterii operațiunilor criptografice prin urmărirea comportamentului algoritmului, evaluarea tiparelor tipice de acces la memorie ale proceselor cunoscute sau monitorizarea progresului unui alt proces.
Aspectul datelor în memorie prin care este cunoscut atacatorul (De exemplu, dacă conținutul de bază al bufferului este cunoscut inițial la momentul ieșirii din dialogul de autentificare, puteți determina Arola pe baza simbolului de extorcare în timpul intervenției utilizatorului.)
Există o soluție împotriva acestui lucru?
Da, dacă există deja o soluție de la Linux și este că acest tip de investigație ajută la detectarea problemelor înainte ca alții cu intenții dăunătoare să profite de ele.
Pentru nucleul Linux, soluția este deja disponibilă ca un patch, care este deja disponibil descris și documentat aici.
În cazul Windows 10, problema a fost rezolvată într-o versiune de test (Insider Preview Build) 18305.
Aplicațiile practice ale atacului asupra sistemului local demonstrat de cercetători includ crearea unui canal de transmisie a datelor din medii izolate izolate, recreerea elementelor de interfață de pe ecran (de exemplu, dialoguri de autentificare), definirea tastelor și recuperarea parole temporare generate automat).