Впервые команда голландских экспертов по взлому смогла изменить память виртуальных машин в облаке без использования программных уязвимостей, применяя новую технику атаки.
Невидимая угроза
- Группа голландских специалистов по кибербезопасности под руководством профессора Герберта Боса из Свободного университета Амстердама впервые изменила память виртуальных машин в облаке без использования программных уязвимостей, применяя новую технику атаки.
- С помощью этой техники злоумышленник может взломать ключи защищённых виртуальных машин или установить вредоносное ПО без обнаружения. Это новый тип атаки на основе дедупликации, при которой данные могут не только просматриваться и утекать, но и изменяться с использованием аппаратного сбоя. Таким образом, злоумышленник может заставить сервер установить вредоносное и нежелательное ПО или позволить вход неавторизованным лицам.
Дедупликация и баг Rowhammer
- С новой техникой атаки Flip Feng Shui (FFS) злоумышленник арендует виртуальную машину на том же хосте, что и жертва. Это можно сделать, арендуя множество виртуальных машин, пока одна из них не окажется рядом с жертвой. Виртуальные машины в облаке часто используются для запуска приложений, тестирования нового ПО или работы веб-сайта. Существуют публичные (доступные всем), сообщества (для определённой группы) и частные (доступные одной организации) облака. Злоумышленник записывает страницу памяти, которая, как он знает, существует у жертвы, на уязвимое место в памяти и позволяет ей дедуплицироваться. В результате идентичные страницы будут объединены в одну для экономии места. Эта страница хранится в той же части памяти физического компьютера. Злоумышленник теперь может изменить информацию в общей памяти компьютера. Это можно сделать, вызывая аппаратный баг, называемый Rowhammer, который приводит к изменению битов с 0 на 1 или наоборот, чтобы найти уязвимые ячейки памяти и изменить их.
Взлом OpenSSH
- Исследователи из Свободного университета Амстердама, работая совместно с исследователем из Католического университета Лёвена, описали в своём исследовании две атаки на операционные системы Debian и Ubuntu. Первая атака FFS получила доступ к виртуальным машинам, ослабив публичные ключи OpenSSH. Злоумышленник сделал это, изменив публичный ключ жертвы на один бит. Во второй атаке настройки приложения для управления программным обеспечением apt были изменены путём внесения незначительных изменений в URL, откуда apt загружает ПО. Сервер мог установить вредоносное ПО, которое маскируется под обновление программного обеспечения. Проверка целостности могла быть обойдена путём небольшого изменения публичного ключа, который проверяет целостность пакетов программного обеспечения apt-get.
Рекомендации NSCS
- Компании Debian, Ubuntu, OpenSSH и другие, включённые в исследование, были уведомлены до публикации и все ответили на уведомление. Национальный центр кибербезопасности Нидерландов (NSCS) выпустил информационный бюллетень с информацией и советами по FFS.
"Хакерский Оскар"
- Исследователи представили свои выводы на этой неделе во время Симпозиума по безопасности USENIX 2016 в США. Недавно они выиграли "Оскар" в области хакерства — Pwnie — за другую технику атаки, которая позволяет злоумышленникам захватывать передовое программное обеспечение (например, новый браузер Edge на Microsoft Windows) с включённой защитой, даже если в ПО нет уязвимостей. Более того, они могут сделать это через JavaScript в браузере.
Заключение
Исследования показывают, что современные виртуальные машины в облаке могут быть уязвимы даже без явных программных ошибок. Новая техника атаки Flip Feng Shui демонстрирует важность постоянного обновления и укрепления систем кибербезопасности. Организациям необходимо внимательно следить за новыми угрозами и принимать меры для защиты своих данных и инфраструктуры.
