Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Nowy atak na serwerowe procesory Intela – w pewnych warunkach można zdalnie odczytać dane z zaszyfrowanej sesji SSH

11 września 2019, 10:29 | W biegu | komentarze 3

NetCAT to nowy atak wykorzystujący mechanizm DDIO (Data-Direct I/O), który w skrócie umożliwia bezpośrednią komunikację karty sieciowej z cache procesora (z pominięciem standardowej pamięci RAM). Mechanizm dostępny jest w procesorach serwerowych od okolic początku 2012 roku i włączony jest domyślnie.

In our attack, we exploit the fact that the DDIO-enabled application server has a shared resource (the last-level cache) between the CPU cores and the network card. We reverse engineered important properties of DDIO to understand how the cache is shared with DDIO. We then use this knowledge to leak sensitive information from the cache of the application server using a cache side-channel attack over the network.

Atak tym razem można przeprowadzić przez sieć (czyli nie trzeba być na tej samej maszynie, jak to np. było w przypadku Spectre czy Meltdown). Badacze pokazali exploita wykorzystującego dodatkowo mechanizm RDMA (atakujący musi być jednak na serwerze, który jest połączony linkiem wspierającym RDMA z serwerem-ofiarą):

NetCAT

Wyciąganie danych z sesji SSH wygląda tak:

Intel potwierdził problem, przyznał bug bounty i wydał oświadczenie – podatność klasyfikuje jako 'niskie ryzyko’.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. fnfjdnnd

    ale se nazwę wybrali..

    Odpowiedz
    • trochę z pupy rzeczywiście, niektórzy żartują, że kolejną podatność mogą nazwać np. NmAP :P

      Odpowiedz
  2. Monter

    Oj Intel, Intel…
    Ale i tak nic nie przebije zatrzymującego się zegara wewnętrznego w Atomach, o czym na naszym podwórku jakoś tak dziwnie cicho było.

    Odpowiedz

Odpowiedz