Обнаружен новый механизм взлома облачных виртуальных машин



    Специалисты по кибербезопасности Амстердамского свободного университета обнаружили новый механизм взлома облачной виртуальной машины. Механизм предусматривает несколько этапов. Для взлома используется небезызвестная технология Rowhammer.

    Первый этап заключается в том, чтобы арендовать облачную виртуальную машину, или несколько машин, на одном хосте с жертвой.
    Облачные виртуальные машины используются для тестового запуска приложений, программного обеспечения или интернет-страниц. При этом облачные хостинги подразделяются на публичные, групповые и частные.

    Далее нужно найти уязвимую ячейку «по соседству» с участками памяти жертвы. После остается дождаться, когда запустится процесс дедупликации, и подвергнуть ячейки атаке Rowhammer.
    Дедупликация (устранение дубликатов) — специализированный метод сжатия массива данных, использующий в качестве алгоритма сжатия исключение дублирующих копий повторяющихся данных. При выявлении дублирующегося элемента, он заменяется ссылкой на уникальное вхождение (или на него перенаправляется уже существующая ссылка), а пространство, занимаемое дубликатом, высвобождается. Дедупликация находит широкое применение в системах виртуализации. Она позволяет условно выделить повторяющиеся элементы данных каждой из виртуальных систем в отдельное пространство.




    Изображение сайта eurosoft-uk.com

    Когда объединение копий произойдет, злоумышленник получит доступ к физической DDR-памяти компьютера жертвы. После этого он может читать, копировать и даже менять содержимое ячеек памяти. Для этой цели как раз используется атака Rowhammer.
    Rowhammer была разработана в 2014 году. Если сотни и тысячи раз за долю секунды обращаться к конкретным строкам памяти («простукивая» их, как молотком — отсюда и название hammering), то в следствии определенных физических явлений, это может повлиять на соседний участок памяти, переключая значения его ячеек (биты) с нулей на единицы и наоборот.

    Получив возможность влиять на содержание областей памяти (вплоть до заблокированных), злоумышленники могут осуществлять атаки, приводящие к повышению привилегий до административных. И тогда становится возможным запуск зловредного кода или перехват действий пользователей или программ. Новый тип взлома получил название Flip Feng Shui (FFS).

    Сотрудники Амстердамского свободного университета протестировали технологию на виртуальных облачных машинах с операционными системами Ubuntu и Debian.

    Американские исследователи из компании Third I/O на состоявшейся в Китае конференции Semicon China представили доклад об уязвимости Rowhammer и чипов DDR4. Ранее считалось, что DDR3 и DDR4 не подвержены данной уязвимости.

    Но в марте 2015 года исследователи из команды Project Zero Google рассказали, что проблема заключается в изменении значений отдельных битов данных (bit flipping), хранящихся в DIMM-модулях чипов DDR3.

    До того, как была обнаружена уязвимость DDR, взлом виртуальных облачных машин ограничивался просмотром и кражей данных.
    Поделиться публикацией

    Комментарии 11

      +1
      Ну и в добавок видео PoC под спойлером
      Пара видео


        0
        Слишком много условий для осуществления успешной атаки. Насколько оно применимо не в тепличных условиях, а в реальной жизни?
          0
          Под каждую цель подбираются свои средства. Не подходит — не используем.
          0
          Интересно, насколько ECC снижает вероятность успеха такой операции.
            0
            Подобная уязвимость может быть только в случае, если часть управления дедупликацией отдана драйверу виртуальной машины. Я не знаю как оно реализовано на деле, но по идеи процессор виртуальной машины работает с виртуальной памятью и в случае записи в дедуплицированную ячейку должен отрабатывать механизм создания новой ячейки средствами гипервизора…
              0
              Я так понимаю, имеется ввиду линуксовый механизм KSM (Kernel Samepage Merging).
                0
                Ну если рассматривать механизмы KSM или контейниризации, то это просто временные ошибки ПО. Но никак не про облачные виртуализации. С большой вероятность на начальном этапе и на win2016 будет такая же проблема.
              0
              Я видимо чего-то недопонимаю, разве виртуальные машины имеют доступ к информации о том когда происходит процесс дедупликации? И родительская ОС может об этом не знать если дедупликация организована средствами СХД (поправьте если ошибаюсь). То есть нужно попасть в нужное время, да плюс к тому еще и попасть в нужные ячейки. Угадать дважды либо спамить всю доступную память всё доступное время вредоносным кодом (что опять таки не факт что попадутся смежные ячейки)?
                0
                Поэтому лучше пользоваться собственным сервером для крупных проектов. А для мелких проектов никто не будет пытаться вас взломать таким способом. Проще залезть через уязвимости движка, чем через оперативную память облака.
                  0
                  «Разносить» вирт-машины на разные планки памяти?
                    0
                    Почему в заголовке говорится про облачные виртуалки, а в статье — про VPS? Ведь для облачной виртуалки характерна непредсказуемость физического расположения оперативной памяти, которая используется виртуалкой, иначе какое это облако.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.