科研人員擊敗 Rowhammer 保護機制！

新的攻擊方法可在用戶空間二進位代碼中翻轉比特，找樂子、搞破壞。

自從Rowhammer漏洞首次出現以來，研究者與防禦者之間可以說從此上演了一場軍備競賽，最近祭出大招的科研人員認為，他們擊敗了所有可供使用的保護機制。

Rowhammer這個術語用來描述一種安全漏洞，該漏洞抓住這一點大做文章：硬體廠商為了追求更大容量的內存和更小尺寸的部件，把太多的內存單元一起塞入到同樣的板卡上。

研究人員發現，攻擊者可以用不斷的讀寫操作「轟炸」（即反覆訪問）一排排RAM內存單元，引起內存單元改變電荷，這本身會將存儲的數據比特由1改成0或由0改成1，從而改變存儲在計算機內存中的信息。

攻擊者可利用這種攻擊來傳播改變操作系統正常行為的惡意代碼，從而提升攻擊者的許可權、破解設備，或者對關鍵服務（比如安全軟體）實施拒絕服務攻擊。

在谷歌首次演示強制的比特翻轉（bit-flipping）可能導致內存錯誤，留下一條被人接管的途徑之後的兩年間，科研人員一方面致力於研究軟硬體緩解技術，另一方面研究新的攻擊方法。

奧地利、美國和澳大利亞的一項合作本周帶來了最糟糕的壞消息：目前的所有防禦措施都可能被擊敗，研究人員採用的攻擊可以遠程實施，包括對基於雲的系統發動遠程攻擊。

在本文（https://arxiv.org/abs/1710.00551）中，八位合作者介紹了他們稱為「單一位置錘擊」（one-location hammering）的攻擊。

他們寫道，這提供了一種觸發bug的新方法，「我們並不錘擊好多排DRAM，而是只保持一排DRAM不斷敞開。我們新的攻擊技術：操作碼翻轉（opcode flipping）在用戶空間的二進位代碼中以一種穩定的、針對性的方式來翻轉比特，從而繞過最新的隔離機制。」

為了確保攻擊是可以預測的，科研人員「把顯眼的、耗盡內存的噴射和修飾（spraying and grooming）技術」換成了他們所說的「內存攔截」（memory waylaying）技術。這哄騙操作系統將目標頁面放在攻擊者控制的物理內存位置。

是時候重新開始了

研究人員表示，面對他們的攻擊，目前的Rowhammer緩解技術完全失效。

他們寫道，只要在英特爾SGX飛地（enclave）裡面運行代碼，就很容易挫敗靜態分析；這一招還挫敗了基於性能計數器的緩解技術。

單一位置錘擊繞過了第三種緩解技術（即分析內存訪問模式的軟體）；基於物理內存隔離的防禦是科研人員開發的「操作碼翻轉」的目標。

論文寫道：「操作碼中的比特翻轉可生成不同的，但有效的操作碼，操作碼翻轉正是鑽了這方面的空子。」科研人員演示了針對sudo命令的攻擊技術，「可以鑽sudo二進位代碼中29個偏移量中的任何一個的空子，從而獲得root許可權。」

為了繞過通過分析Rowhammer攻擊的內存佔用空間來發揮功效的保護機制，研究人員採用了「內存攔截」技術。這「執行了可感知替換的頁面緩存驅逐，只使用頁面緩存頁面。這些頁面在系統內存的利用率圖表中是看不見的，因為它們可以隨時被驅逐出去，因此被視為可用內存。因此，內存攔截從來不會引起系統出現內存不足的情況。」

如前所述，研究人員聲稱，他們的攻擊對付基於雲的系統很管用。由於攻陷AWS雲或Azure雲上的機器會招致巨頭們的憤怒，他們在旨在模擬雲伺服器的硬體配置（基於Haswell和Skylake的伺服器）上測試了攻擊。

論文首頁：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 雲頭條 的精彩文章: