Inicio / Para Expertos / El nuevo ataque de canal lateral roba datos de Windows, Linux Caché de página

El nuevo ataque de canal lateral roba datos de Windows, Linux Caché de página

Han surgido detalles sobre un nuevo ataque de canal lateral que se dirige a la memoria caché de la página de un sistema operativo, donde se almacenan los datos confidenciales a los que se ha accedido para su uso, como binarios de programas, bibliotecas y archivos e información sensible a la naturaleza.

El ataque no está limitado por la arquitectura de hardware y resultó exitoso en intentos locales contra máquinas Windows y Linux, lo que permite eludir los entornos limitados de seguridad, ejecutar una corrección temporizada de la interfaz de usuario y la recuperación de contraseñas temporales generadas automáticamente.

El equipo de investigación, compuesto por expertos de la Universidad de Tecnología de Graz, la Universidad de Boston, NetApp, CrowdStrike e Intel, también pudo, bajo ciertas condiciones, filtrar información a un atacante remoto.

Golpeando el caché de la página del sistema operativo

Un método que utilizan los sistemas operativos (OS) para mejorar el rendimiento es almacenar los datos que lee del disco duro por primera vez en porciones no utilizadas de la memoria volátil. Al almacenar o almacenar en caché los datos en la memoria, cuando se accede nuevamente a esos mismos datos, el sistema operativo los puede leer mucho más rápido porque el almacenamiento volátil ofrece velocidades de acceso decenas de veces más rápidas.

Aunque los investigadores demostraron su ataque a Windows y Linux, como el almacenamiento en caché de la página está presente en todos los principales sistemas operativos, debería ser posible obtener el mismo efecto en macOS.

El sistema operativo funciona con memoria virtual, donde los procesos están aislados unos de otros. Cuando varios procesos asignan una página virtual a la misma física, se convierte en memoria compartida.

Para extraer la información del caché de la página, un atacante necesita saber cuándo una página específica estará disponible en el caché de la página. Esto es posible utilizando las llamadas del sistema ‘mincore’ en Linux y QueryWorkingSetEx en Windows.

vista general de ataque

Ataques locales

La ejecución local de este ataque de canal lateral no se basa en diferencias de tiempo, algo que es necesario para su variante remota.

El requisito previo para un ataque local exitoso es que el adversario tenga acceso de lectura a la página de destino. Esta condición se cumple mediante un proceso malintencionado en el sistema operativo o cuando los procesos se ejecutan en entornos limitados que tienen archivos compartidos.

Para probar su teoría, los investigadores realizaron varios ataques, uno de ellos con el propósito de enviar datos de forma encubierta.

“El canal secreto funciona accediendo o no accediendo a páginas específicas. Utilizamos dos páginas para transmitir una señal ‘LISTA’ y una página para transmitir una señal ‘ACK’. Las páginas restantes hasta el final del archivo se utilizan como transmisión de datos bits “.

Un tercer experimento fue un ataque de tiempo de pulsación de tecla en la ventana de autenticación de Ubuntu 18.04, para recopilar la contraseña de root.

La prueba mostró un éxito parcial con un usuario “extremadamente” rápido, ya que se produjeron falsos positivos. Sin embargo, al ejecutar el ataque varias veces, se puede recopilar y combinar información diferente para obtener la contraseña completa.

El experimento se repitió en un editor de texto (Bloc de notas) en Windows y en ambos casos los resultados fueron limpios, sin ruido para dificultar la lectura de la contraseña.

Captura de contraseña en Linux (arriba) y Windows (abajo)

Posible ataque remoto, con limitaciones.

“Nuestro ataque remoto aprovecha las diferencias de tiempo entre la memoria y el acceso al disco, medido en un sistema remoto, como un proxy para la información local requerida”, explican los investigadores.

Esto se puede lograr midiendo las fallas de la página suave, lo que ocurre cuando la página se asigna erróneamente, con la ayuda de un proceso que se ejecuta en un servidor remoto.

Los investigadores pudieron enviar datos a través de un canal de comunicación encubierto entre un proceso malintencionado y sin privilegios y un proceso remoto que actúa como un servidor web.

Dado que un adversario remoto no puede usar funciones locales para verificar la presencia de una página en el caché, se utilizó un enfoque diferente: distinguir las coincidencias y los fallos de caché en la red. El método permite leer en la red datos arbitrarios de la memoria y se reveló en la investigación del ataque NetSpecter .

Ejecutaron el experimento en sistemas con múltiples tipos de almacenamiento, incluida la unidad de estado sólido (SSD), donde las diferencias de tiempo son menores. Sin embargo, amplificaron la diferencia de tiempo utilizando archivos más grandes, lo que ayudó a distinguir entre un acierto de caché de página y un fallo de caché de página.

Protección contra ataques de caché de página

Los investigadores dicen que su ataque es “mucho más eficiente” en Windows que en Linux, pero los equipos de seguridad de ambos sistemas operativos han sido informados del ataque.

Por el momento, la mitigación contra este tipo de ataque existe en Windows Insider build 18305 , uno de los investigadores dijo a The Register .

Los expertos involucrados en la investigación son Daniel Gruss, Erik Kraft, Trishita Tiwari, Michael Schwarz, Ari Trachtenberg, Jason Hennessey, Alex Ionescu y Anders Fogh. Sus hallazgos se describen en el artículo llamado Page Cache Attacks .

El documento se distribuye a través del servicio de impresión electrónica ArXiv de la Universidad de Cornell, que almacena artículos de investigación en diversos campos de actividad (física, matemáticas, informática, biología cuantitativa, finanzas cuantitativas, estadística, ingeniería eléctrica y ciencias de sistemas y economía).

Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: bleepingcomputer

Vea También

Las nuevas fallas en la escalada de privilegios de Systemd afectan la mayoría de las distribuciones de Linux

Los investigadores de seguridad han descubierto tres vulnerabilidades en Systemd, un popular sistema de inicio …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.