Дослідники в галузі кібербезпеки: Метою нової атаки є сторінкові кеші - область пам'яті, куди операційна система завантажує код
Дослідники в галузі кібербезпеки: Метою нової атаки є сторінкові кеші - область пам'яті, куди операційна система завантажує код
На відміну від вже відомих атак, новий метод спрямований на операційну систему, а не на процесор.
Спільна команда вчених та дослідників у галузі кібербезпеки описала нову атаку по сторонніх каналах, ефективну проти систем на базі Windows та Linux. На відміну від вже відомих атак, новий метод спрямований не на недоліки в мікроархітектурі процесорів або інших компонентів комп'ютера, а на власне операційну систему, тобто зберігає дієвість незалежно від апаратного забезпечення.
Метою нової атаки є так звані «сторінкові кеші» - область пам'яті, куди операційна система завантажує код (виконувані файли, бібліотеки, дані користувача), використовуються одним або декількома програмами. На відміну від класичної апаратної кеш-пам'яті, такі кеші керуються на рівні операційної системи.
«Деякі з цих [сторінкових] кешів мають дуже специфічні сценарії застосування, наприклад, кеш браузера, який використовується для контенту веб-сторінки; інші кеші більш універсальні, наприклад, кеш, в якому зберігається значна частина коду та даних, що використовуються», - пояснили фахівці.
Новий метод експлуатує механізми в ОС Windows (системний виклик QueryWorkingSetEx) і Linux (mincore), що дозволяють розробнику/додатку перевірити наявність сторінки пам'яті в сторінковому кеші. За допомогою шкідливого процесу, запущеного на ОС, фахівці змогли створювати стани витіснення з кешу, які вивільняють старі сторінки пам'яті. Під час запису вивільнених даних на диск система сторінкових кешів генерує різні помилки або завантажує нові сторінки в кеш. За словами авторів дослідження, шляхом аналізу цієї активності можна визначити вміст сторінкового кешу, навіть якщо він використовувався іншими процесами/додатками.
Одна з переваг нового методу полягає в тому, що він дозволяє за раз отримувати великий обсяг даних. Ця атака може використовуватися для обходу пісочниць, модифікації інтерфейсу користувача і запису натискань клавіш. Дослідники зазначають, що метод може бути адаптований для віддаленого застосування, але в такому разі він буде менш ефективним, оскільки не дозволить обійти пісочниці.
Компанія Microsoft вже виправила проблему у складанні 18305 для Windows Insiders, розробники Linux також готують відповідний патч. Експерти не тестували новий метод на macOS, але, за їхніми словами, якщо операційна система використовує сторінкові кеші, то, швидше за все, є вразливою до подібних атак.
