Информационная безопасность
Тестирование IT-систем
16 августа 2016

Обнаружен новый механизм взлома облачных виртуальных машин



Специалисты по кибербезопасности Амстердамского свободного университета обнаружили новый механизм взлома облачной виртуальной машины. Механизм предусматривает несколько этапов. Для взлома используется небезызвестная технология Rowhammer.

Первый этап заключается в том, чтобы арендовать облачную виртуальную машину, или несколько машин, на одном хосте с жертвой.
Облачные виртуальные машины используются для тестового запуска приложений, программного обеспечения или интернет-страниц. При этом облачные хостинги подразделяются на публичные, групповые и частные.

Далее нужно найти уязвимую ячейку «по соседству» с участками памяти жертвы. После остается дождаться, когда запустится процесс дедупликации, и подвергнуть ячейки атаке Rowhammer.
Дедупликация (устранение дубликатов) — специализированный метод сжатия массива данных, использующий в качестве алгоритма сжатия исключение дублирующих копий повторяющихся данных. При выявлении дублирующегося элемента, он заменяется ссылкой на уникальное вхождение (или на него перенаправляется уже существующая ссылка), а пространство, занимаемое дубликатом, высвобождается. Дедупликация находит широкое применение в системах виртуализации. Она позволяет условно выделить повторяющиеся элементы данных каждой из виртуальных систем в отдельное пространство.




Изображение сайта eurosoft-uk.com

Когда объединение копий произойдет, злоумышленник получит доступ к физической DDR-памяти компьютера жертвы. После этого он может читать, копировать и даже менять содержимое ячеек памяти. Для этой цели как раз используется атака Rowhammer.
Rowhammer была разработана в 2014 году. Если сотни и тысячи раз за долю секунды обращаться к конкретным строкам памяти («простукивая» их, как молотком — отсюда и название hammering), то в следствии определенных физических явлений, это может повлиять на соседний участок памяти, переключая значения его ячеек (биты) с нулей на единицы и наоборот.

Получив возможность влиять на содержание областей памяти (вплоть до заблокированных), злоумышленники могут осуществлять атаки, приводящие к повышению привилегий до административных. И тогда становится возможным запуск зловредного кода или перехват действий пользователей или программ. Новый тип взлома получил название Flip Feng Shui (FFS).

Сотрудники Амстердамского свободного университета протестировали технологию на виртуальных облачных машинах с операционными системами Ubuntu и Debian.

Американские исследователи из компании Third I/O на состоявшейся в Китае конференции Semicon China представили доклад об уязвимости Rowhammer и чипов DDR4. Ранее считалось, что DDR3 и DDR4 не подвержены данной уязвимости.

Но в марте 2015 года исследователи из команды Project Zero Google рассказали, что проблема заключается в изменении значений отдельных битов данных (bit flipping), хранящихся в DIMM-модулях чипов DDR3.

До того, как была обнаружена уязвимость DDR, взлом виртуальных облачных машин ограничивался просмотром и кражей данных.
+16
14,1k 48
Комментарии 11