Novo ataque “RAMBleed” permite hackers roubarem dados confidenciais

Novo ataque “RAMBleed” permite hackers roubarem dados confidenciais. CVE-2019-0174 “RAMBleed” permite que um invasor leia a memória física pertencente a outros processos

Uma equipe de pesquisadores representando várias universidades divulgou os detalhes do RAMBleed, um novo tipo de ataque de canal lateral na memória de acesso aleatório dinâmica (DRAM) que pode ser usado para obter dados potencialmente sensíveis da memória de um dispositivo.

O RAMBleed, que é rastreado como CVE-2019-0174, é baseado no Rohammer, uma técnica cujo impacto na segurança foi demonstrado pela primeira vez em 2015 pelo Google Project Zero.

O Rowhammer, que permite que um atacante dispare bits no espaço de memória de outros processos. Mostramos em nosso artigo que um invasor, observando o bit induzido por Rowhammer em sua própria memória, pode deduzir os valores nas linhas de DRAM próximas. Assim, RAMBleed muda Rowhammer de ser uma ameaça não só para a integridade, mas a confidencialidade também. Além disso, ao contrário do Rowhammer, o RAMBleed não requer saltos de bit persistentes e, portanto, é eficaz contra a memória ECC comumente usada por computadores servidores.

Os ataques de Rowhammer são possíveis devido ao fato de que as células de memória em chips DRAM foram colocadas muito próximas, em um esforço para aumentar a capacidade e diminuir o tamanho. Isso torna mais difícil impedir que as células interajam eletricamente umas com as outras e os pesquisadores demonstraram que o acesso repetido a locais de memória específicos pode causar saltos de bit.

Especialistas em segurança já demonstraram anteriormente que essas inversões de bits podem ser exploradas para escalonamento de privilégios. No entanto, pesquisadores da Universidade de Michigan, da Universidade de Tecnologia de Graz e da Universidade de Adelaide mostraram que um invasor com privilégios limitados pode usar um ataque Rowhammer para deduzir bits em linhas próximas, incluindo dados associados a outros processos e ao kernel.

Os ataques anteriores a Rowhammer dependiam de canais secundários de gravação, que envolvem inversões de bits persistentes que podem ser atenuadas pela memória de código de correção de erros (ECC). Os pesquisadores dizem que o RAMBleed usa o Rowhammer como um canal lateral de leitura e não requer saltos de bit persistentes, permitindo que ele ignore o ECC.

As inversões de bits induzidas por Rowhammer dependem dos dados, ou seja, é mais provável que um bit gire quando os bits acima e abaixo tiverem a carga oposta. Isso cria um canal lateral dependente de dados, em que um atacante pode deduzir os valores de bits em linhas próximas, observando bits de bits em suas próprias linhas de memória. Finalmente, como os dados em fileiras próximas podem pertencer a um processo diferente, esse vazamento quebra os limites de isolamento impostas pelo sistema operacional ”, explicaram os pesquisadores.

Para explorar esse efeito, desenvolvemos novas técnicas de massagem de memória para colocar cuidadosamente os dados secretos da vítima nas linhas acima e abaixo da linha de memória do invasor. Isso faz com que as jogadas de bits nas linhas do atacante dependam dos valores dos dados secretos da vítima. O atacante pode então usar o Rowhammer para induzir bits em sua memória, vazando os dados secretos da vítima”, acrescentaram.

Os pesquisadores que descobriram o RAMBleed demonstraram seu impacto atacando o OpenSSH e vazando uma chave RSA de 2048 bits. Embora isso pareça sério, eles destacaram que o OpenSSH era apenas um alvo conveniente para demonstrar RAMBleed e não é mais vulnerável em comparação com outros softwares.

Os ataques RAMBleed funcionam contra dispositivos que usam módulos de memória DDR3 e DDR4. “Nós suspeitamos que muitas classes de computadores são suscetíveis à RAMBleed“, disseram os pesquisadores.

Quanto às mitigações, os pesquisadores recomendam a atualização de módulos de memória para DDR4 com atualização de linha de destino (TRR) habilitada; esse recurso não bloqueia completamente os ataques do Rowhammer, mas dificulta sua execução na prática.

Os fabricantes de memória podem ajudar a atenuar esse problema testando com mais rigor os DIMMs defeituosos. Além disso, documentar publicamente as implementações de TRR específicas do fornecedor facilitará um processo de desenvolvimento mais forte, à medida que os pesquisadores de segurança investigarem essas implementações quanto a pontos fracos ”, disseram os pesquisadores.

Novo ataque “RAMBleed” permite hackers roubarem dados confidenciais, mas não há evidências de que o RAMBleed tenha sido explorado, no entanto, os especialistas observaram que é improvável que softwares de segurança comercial sejam capazes de detectar esses tipos de ataques.

A Oracle lançou um comunicado para a RAMBleed e outros fornecedores provavelmente farão o mesmo. A Oracle diz que seus servidores e infraestrutura não são afetados devido ao uso de mitigações como o TRR, e a empresa acredita que nenhum patch de software adicional será necessário.

Qual é o bug do Rowhammer?

A tendência no sentido de aumentar a densidade de células DRAM e diminuir o tamanho dos capacitores nas últimas décadas deu origem a um problema de confiabilidade conhecido como Rowhammer. Especificamente, acessos repetidos a linhas na DRAM podem levar a saltos de bit nas linhas vizinhas (não apenas nos vizinhos diretos), mesmo que essas linhas vizinhas não sejam acessadas.

Os invasores podem explorar esses flips de processo cruzado para uma série de violações de segurança. Pesquisadores demonstraram como abusar do Rowhammer para escalonamento de privilégios, fatoração de módulo RSA e muito mais.

O que é RAMBleed?

Novo ataque “RAMBleed” permite hackers roubarem dados confidenciais diretamente da memória. Os ataques anteriores exploraram o efeito Rowhammer para escrever (ou inverter) bits na memória da vítima. O RAMBleed é diferente porque usa o Rowhammer para ler dados armazenados dentro da memória física do computador. Como a memória física é compartilhada entre todos os processos do sistema, isso coloca todos os processos em risco.

Quais dados podem ser lidos pela RAMBleed?

Enquanto o ataque end-to-end demonstrado leu a chave RSA do OpenSSH 7.9, o RAMBleed pode potencialmente ler qualquer dado armazenado na memória. Na prática, o que pode ser lido depende dos padrões de acesso à memória do programa da vítima.

 A chave OpenSSH foi extraia! Isso significa que deveria parar de usar o SSH?

Não há nada particularmente vulnerável no OpenSSH, foi simplesmente um alvo conveniente para demonstrar as implicações de segurança do RAMBleed. Os pesquisadores não recomendam que pare de usar o SSH. 

Quais tecnologias são afetadas pela RAMBleed?

O RAMBleed depende dos bits de bits induzidos por Rowhammer para ler a memória privilegiada. Como tal, qualquer sistema que use DIMMs suscetíveis a Rowhammer é vulnerável. Pesquisas anteriores demonstraram saltos de bits em DDR3 e DDR4 com TRR (atualização de linha direcionada) ativada. Embora tenham demonstrado o ataque a uma máquina desktop e a uma máquina servidora habilitada para ECC, os ataques Rowhammer foram demonstrados contra dispositivos móveis e laptops. Como tal, os pesquisadores suspeitam que muitas classes de computadores são suscetíveis a RAMBleed.

A memória ECC (Error Correcting Code) impede a RAMBleed?

Não! O RAMBleed usa bit flips como um canal lateral de leitura e, como tal, não requer que os bits sejam persistentes. Em vez disso, o invasor precisa apenas saber que ocorreu um pouco de flip; os vazamentos secretos de informações, independentemente de o ECC corrigir ou não o flip.

Se o ECC corrige o flip, como o atacante pode determinar se um bit foi ou não modificado na memória? O invasor pode ler a memória e usar o canal lateral de tempo do ECC para determinar se o bit foi invertido. Como descrito por Cocojar et al., Quando o hardware corrige o bit flip, um grande atraso é induzido nesse acesso de memória particular. Na configuração dos pesquisadores, foi encontrado um sinal ainda mais forte do que o relatado anteriormente, com uma redução de 1.000.000 X no caso comum.

Como posso atenuar esse problema?

Os usuários podem reduzir seus riscos atualizando sua memória para DDR4 com TRR ativado. Embora os saltos de bits induzidos por Rowhammer tenham sido demonstrados no TRR, é mais difícil de realizar na prática.

Os fabricantes de memória podem ajudar a atenuar esse problema testando de forma mais rigorosa os DIMMs defeituosos. Além disso, documentar publicamente as implementações de TRR específicas do fornecedor facilitará um processo de desenvolvimento mais forte à medida que os pesquisadores de segurança investigarem essas implementações quanto a pontos fracos.

O RAMBleed pode ser detectado por antivírus?

Acreditamos que é muito improvável que qualquer software antivírus no mercado detecte atualmente o RAMBleed.

A RAMBleed já foi explorada ?

Não é possível afirmar definitivamente, mas os pesquisadores acreditam que seja improvável.

Como funciona o RAMBleed?

Os saltos de bits induzidos por Rowhammer dependem dos dados, isto é, é mais provável que um bit gire quando os bits acima e abaixo tiverem a carga oposta. Isso cria um canal lateral dependente de dados, em que um atacante pode deduzir os valores de bits em linhas próximas, observando bits a bits em suas próprias linhas de memória. Por fim, como os dados em linhas próximas podem pertencer a um processo diferente, esse vazamento quebra os limites de isolamento impostos pelo sistema operacional.

Para explorar esse efeito, os pesquisadores desenvolveram novas técnicas de massificação de memória para colocar cuidadosamente os dados secretos da vítima nas linhas acima e abaixo da linha de memória do invasor. Isso faz com que as jogadas de bits nas linhas do atacante dependam dos valores dos dados secretos da vítima. O atacante pode então usar o Rowhammer para induzir bits em sua memória, vazando os dados secretos da vítima.

Existe um número CVE?

Sim, consulte CVE-2019-0174.

Por que é chamado RAMBleed?

Devido a deficiências nos módulos de memória, a RAM sangra seu conteúdo, que depois recupera-se através de um canal lateral.

Fonte: SecurityWeek & Oracle & Rambleed.com 

Veja também:

Veja também:

Sobre mindsecblog 2383 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Milhões de servidores de e-mail Linux em risco
  2. Resgates de ransomwares movimentam o crime, quem não paga gasta milhões para recuperar - Minuto da Segurança da Informação
  3. Ataque cibernético em operadoras de telefonia rouba informações durante
  4. Vulnerabilidade crítica no Kernel do Linux afeta Milhões de serviços

Deixe sua opinião!