Виявлено новий механізм злому хмарних віртуальних машин



Фахівці з кібербезпеки Амстердамського вільного університету виявили новий механізм злому хмарної віртуальної машини. Механізм передбачає кілька етапів. Для злому використовується відома технологія Rowhammer.

Перший етап полягає в тому, щоб орендувати хмарну віртуальну машину, або декілька машин, на одному хості з жертвою.
Хмарні віртуальні машини використовуються для тестового запуску додатків, програмного забезпечення або інтернет-сторінок. При цьому хмарні хостинги поділяються на публічні, групові та приватні.
Далі потрібно знайти вразливу клітинку «по сусідству» з ділянками пам'яті жертви. Після залишається дочекатися, коли запуститься процес дедуплікаціі, і піддати осередки атаці Rowhammer.
Дедупликация (усунення дублікатів) — спеціалізований метод стиснення масиву даних, що використовує в якості алгоритму стиснення виключення дублюючих копій повторюваних даних. При виявленні повторювану елемента, він замінюється посиланням на унікальне входження (чи на нього перенаправляється вже існуюча посилання), а простір, займане дублікатом, вивільняється. Дедупликация знаходить широке застосування в системах віртуалізації. Вона дозволяє умовно виділити повторювані елементи даних кожної з віртуальних систем у окремий простір.




Изображение сайту eurosoft-uk.com

Коли об'єднання копій станеться, зловмисник отримає доступ до фізичної DDR-пам'яті комп'ютера жертви. Після цього він може читати, копіювати і навіть змінювати вміст комірок пам'яті. Для цієї мети як раз використовується атака Rowhammer.
Rowhammer була розроблена в 2014 році. Якщо сотні і тисячі разів за частку секунди звертатися до конкретних рядками пам'яті («простукуючи» їх, як молотком — звідси і назва hammering), то внаслідок певних фізичних явищ, це може вплинути на сусідню ділянку пам'яті, перемикаючи його значення комірок (біти) з нулів на одиниці і навпаки.
Отримавши можливість впливати на зміст областей пам'яті (аж до заблокованих), зловмисники можуть здійснювати атаки, що призводять до підвищення привілеїв до адміністративних. І тоді стає можливим запуск шкідливого коду або перехоплення дій користувачів або програм. Новий тип злому отримав назву Flip Feng Shui (FFS).

Співробітники Амстердамського вільного університету протестували технологію на віртуальних хмарних машинах з операційними системами Ubuntu і Debian.

Американські дослідники з компанії Third I/O відбулася в Китаї конференції Semicon China представили доповідь про уразливості Rowhammer і чіпів DDR4. Раніше вважалося, що DDR3 і DDR4 не схильні даної уразливості.

Але в березні 2015 року дослідники з команди Project Zero Google розповіли, що проблема полягає в зміні значень окремих бітів даних (bit flipping), що зберігаються в DIMM-модулі чіпів DDR3.

До того, як була виявлена уразливість DDR, злом віртуальних хмарних машин обмежувався переглядом і крадіжкою даних.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.