ربودن ماشین‌های مجازی لینوکس توسط حمله‌ی جدید Rowhammer FFS

محققان از دانشگاه Vrije در هلند یک نسخه جدید از حمله‌ی Rowhammer را شناسایی کرده‌اند که ماشین مجازی لینوکس، که اغلب برای خدمات میزبانی ابر استفاده می‌شوند را در معرض خطر قرار داده است.

حمله Rowhammer دو سال پیش کشف شد و زمانی که محققان آن را افشا کردند باعث بسیاری از اغتشاشات شد. چرا که این کشف نشان داد چگونه، با بمباران یک ردیف از سلول‌های حافظه، مهاجم می‌تواند صفر باینری را به یک و بالعکس معکوس نماید.

این حمله به مهاجمان اجازه دست‌کاری حافظه کامپیوتر را فقط با استفاده از بدافزارها می‌دهد که به طور مداوم در حال چکش‌کاری یک ردیف سلول از حافظه است که بیت آن تغییر می‌کند و در نتیجه بیت‌های کل حافظه‌ی کامپیوتر تحت تاثیر قرار می‌گیرد.

حملات Rowhammer در طول سالیان، تکامل یافته است.

حملات اولیه در مقابل حافظه DDR۳ موفق‌آمیز بود، اما سال گذشته، محققان ثابت کردند که در مقابل حافظه‌ی DDR۴ نیز موثر است.

شرایط زمانی به بدترین حد خود می‌رسد که محققان متوجه انجام این حمله از طریق جاوا اسکریپت می‌شوند. این بدین معنی است که مهاجمان از طریق اینترنت می‌توانند حافظه‌ی یک کامپیوتر را آلوده کنند.

قبلاً، در ماه می سال ۲۰۱۶، محققان یک حمله Rowhammer علیه مرورگر edge بر روی ویندوز ۱۰ انجام دادند که با استفاده از یک حمله‌ی deduplication حافظه و کانال جانبی، به مهاجم اجازه داده می‌شد تا کنترل مرورگر و همچنین سامانه عامل را بدست گیرد.

همان تیم است که این پژوهش را در سمپوزیوم IEEE ۳۷ در حوزه امنیت و حریم خصوصی ارائه داد، هم‌اکنون با یک نسخه جدید از این حمله که هفته گذشته در همایش امنیت USENIX ارائه شد، بازگشته است.

حمله‌ی FFS Rowhammer علیه ماشین‌های مجازی در لینوکس کار می‌کند.

حمله‌ی جدید که FFS نامیده می‌شود، نسخه‌ی دیگری از Rowhammer است که در ارتباط با deduplication حافظه، یک فرآیند از طریق برخی اسلات‌های خالی سامانه‌های عامل بوسیله‌ی یافتن موجودیت‌های تکراری و ادغام آن‌ها با هم کار می‌کند.

در پژوهش آن‌ها با نام «FFS: چکش‌کاری سوزن در پشته‌ی نرم‌افزار»، محققان جزئیات حمله‌ی Hammering را در کارگزارهای ابری لینوکس شرح داده‌اند.

این حمله که اساساً همان سناریو Edge است، تنها با این تفاوت که بر روی حافظه ماشین‌های مجازی مشترک مبتنی بر لینوکس انجام شده است.

محققان ادعا می‌کنند که یک مهاجم می‌تواند دسترسی به کارگزارهای ابری که دارای میزبانی مشترک با قربانی است را خریداری کرده و با استفاده از یک حمله FFS Rowhammer، می تواند کنترل حساب قربانی را با وجود فقدان کامل آسیب‌پذیری در نرم‌افزار به دست آورد.

به دلیل اینکه مهاجم در کارگزار با قربانی مشترک است، مهاجم قادر به انجام حمله‌ی Rowhammer است و می‌تواند قربانی را هدف قرار داده و به ایجاد سلول‌های حافظه که توسط سامانه deduplication حافظه لینوکس (KSM) انتخاب می‌شود، بپردازد. KSM این سلول‌های حافظه را به هم متصل کرده و در داخل اسلات‌های حافظه مهاجم قرار می‌دهد.

محققان توضیح می‌دهند که: «در این مرحله، با استفاده از FFS مهاجم می‌تواند صفحات حافظه فیزیکی قربانی را با الگوهای شناخته شده (و یا قابل پیش بینی) محتویات، تغییر دهد. سوءاستفاده از این حمله مشروط به تغییر دادن این الگوها در سطح حافظه‌ی فیزیکی است که می‌تواند مهاجم را به توانایی‌ها و مکان‌های مناسبی برای حمله برساند.

به گفته محققان، انجام این حمله آسان است. آن‌ها در مقاله خود، دو اثبات مفهومی حملات را ارئه داده‌اند که یکی از آن‌ها اجازه آلوده کردن کلید عمومی RSA توسط یک بیت را داده است، که از طریق این آلودگی، محققان قادر به ایجاد اتصال SSH به دستگاه قربانی هستند و دیگری تغییر منابع APT و فریب کاربر به نصب APT مخرب است.

مشکل در ماشین مجازی لینوکس نیست بلکه در نرم‌افزار رمزنگاری است.

محققان در کار خود، با موفقیت سامانه دبیان و اوبونتو را هدف قرار دادند. هر دو پروژه از این مسئله مطلع شدند.

اما در حالی که این دو پروژه مبتنی بر لینوکس از این مشکل مطلع شدند، در برخورد با با این مسئله، موضوع واقعی را در نرم‌افزار رمزنگاری اعلام کردند. آن‌ها می‌گویند این نرم‌افزارها قابلیت خرابی را دارند.

به گفته این پژوهشگران: « در حالی که حمله‌ی dFFS با شگفتی تمام، عملی و موثر است، نرم‌افزار رمزنگاری موجود کاملاً برای مقابله با آن مجهز است و با توجه به اینکه تغییر بیت‌ها بخشی از مدل تهدید آن نیست.»

«حتی نگران‌کننده‌تر این است که به اعتقاد ما حمله‌ی FFS می‌تواند در اشکال مختلف و برنامه‌های کاربردی بطور فراگیر در پشته نرم‌افزار استفاده شود. ما خواستار توجه ویژه به این تهدید از سوی جامعه سامانه‌های امنیتی هستیم.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap