Група дослідників безпеки, кілька з яких брали участь у виявленні перших вразливостей Meltdown та Spectre, розробив новий тип атаки на сторонні канали.
Цей напад виконується на основі аналізу вмісту кешу сторінки, що містить отриману інформацію в результаті доступу операційної системи до дисків, твердотільних накопичувачів та інших пристроїв блокування.
На відміну від атак Spectre, нова вразливість не викликана апаратними проблемами, але стосується лише програмних реалізацій кешу сторінок і проявляється в Linux (CVE-2019-5489), Windows і, мабуть, багато інших операційних систем.
Маніпулюючи системними викликами mincore (Linux) та QueryWorkingSetEx (Windows), щоб визначити наявність сторінки пам'яті в кеші системної сторінки, непривілейований локальний зловмисник може простежити доступ до деяких процесів до пам'яті.
Атака дозволяє відстежувати доступ на рівні блоку 4 кілобайти з часовою роздільною здатністю 2 мікросекунди в Linux (6.7 вимірювання в секунду) і 446 наносекунд в Windows (223 вимірювання в секунду).
Кеш сторінки накопичує досить різноманітні дані, включаючи витяжки виконуваних файлів, спільні бібліотеки, дані, завантажені на диск, дзеркальні файли в пам'яті та іншу інформацію, яка зазвичай зберігається на диску та використовується операційною системою та програмами.
Про що ця атака?
Напад базується на тому, що всі процеси використовують загальний кеш системної сторінки, а наявність або відсутність інформації в цьому кеші можна визначити, змінивши затримку читання даних диск або посилання на системні дзвінки, згадані вище.
Кешовані сторінки можуть відображатися в області віртуальної пам'яті, що використовується багатьма процесами (наприклад, у фізичній пам'яті може бути присутня лише одна копія спільної бібліотеки, яка відображається у віртуальній пам'яті різних додатків).
У процесі прокрутки інформації з кешу сторінки та заповнення її під час завантаження типових даних з диска, Ви можете аналізувати стан подібних сторінок у віртуальній пам'яті інших програм.
Виклики mincore та QueryWorkingSetEx значно спрощують атаку, дозволяючи негайно визначити, які сторінки пам’яті з заданого діапазону адрес присутні в кеші сторінок.
Оскільки розмір контрольованого блоку (4 Кб) занадто великий, щоб визначити вміст за ітерацію, атаку можна використовувати лише для прихованої передачі даних.
Зменшення сили криптографічних операцій шляхом відстеження поведінки алгоритму, оцінки типових зразків доступу до пам'яті відомих процесів або моніторингу прогресу іншого процесу.
Розташування даних в пам'яті, за якими відомий зловмисник (Наприклад, якщо основний вміст буфера спочатку відомий на момент виходу з діалогового вікна аутентифікації, ви можете визначити Arola на основі символу вимагання під час втручання користувача).
Чи є рішення проти цього?
Так якщо вже є рішення від Linux Цей тип досліджень допомагає виявити проблеми, перш ніж інші, хто має шкідливі наміри, скористаються ними.
Для ядра Linux рішення вже доступне у вигляді виправлення, яке вже доступне описано і задокументовані тут.
У випадку з Windows 10 проблема була усунена в тестовій збірці (Insider Preview Build) 18305.
Продемонстровані дослідниками практичні програми атаки на локальну систему включають створення каналу передачі даних із ізольованих ізольованих середовищ, створення елементів екранного інтерфейсу (наприклад, діалогові вікна автентифікації), визначення натискань клавіш та відновлення автоматично генеруються тимчасові паролі).