RAMBleed – el ataque para robar datos confidenciales de la memoria de la computadora
Un equipo de investigadores de seguridad cibernética reveló ayer los detalles de un nuevo ataque de canal lateral a la memoria dinámica de acceso aleatorio (DRAM).
Este podría permitir que los programas maliciosos instalados en un sistema moderno, lean datos confidenciales de la memoria de otros procesos que se ejecutan en el mismo hardware.
Ha sido llamado RAMBleed e identificado como CVE-2019-0174, el nuevo ataque se basa en una conocida clase de ataque de canal lateral DRAM llamado Rowhammer y varias variantes [GLitch, RAMpage, Throwhammer, Nethammer, Drammer] de este, las cuales han sido demostradas por investigadores en años recientes.
Conocida desde 2012, la vulnerabilidad Rowhammer es un problema de confiabilidad del hardware que se encuentra en la nueva generación de chips DRAM.
Resultó que el acceso repetido y rápido (martilleo) a una fila de la memoria puede causar cambios de bit en filas adyacentes, es decir, cambiar sus valores de bit de 0 a 1 o viceversa.
Evolución
Después de haber sido descubierto, los investigadores también demostraron explotaciones exitosas para lograr una escalada de privilegios en las computadoras vulnerables, al cambiar (escribir) bits en la memoria de la víctima.
Fue descubierto por un equipo de investigadores de la Universidad de Michigan, la Universidad de Tecnología de Graz y la Universidad de Adelaida; el nuevo RAMBleed también se basa en el mecanismo de cambio de bits; pero en lugar de escribir datos en las filas adyacentes, este ataque permite a los atacantes leer la información en la memoria protegida que pertenece a otros programas y usuarios.
“Más específicamente, mostramos cómo un atacante sin privilegios puede explotar la dependencia de los datos entre los cambios de bits inducidos por Rowhammer y los bits en las filas cercanas para deducir estos bits, incluidos los valores que pertenecen a otros procesos y al núcleo”.
“Por lo tanto, la contribución principal de este trabajo es demostrar que Rowhammer es una amenaza no solo para la integridad sino también para la confidencialidad”.
Funcionamiento
Como se muestra en la imagen, si un atacante quiere leer datos secretos contenidos en las celdas de memoria “Secretas”, tiene que:
- Encontrar un bit flippable (página de muestreo) en el mismo desplazamiento en una página de memoria como el bit secreto.
- Manipular el diseño de la memoria utilizando técnicas de masaje de memoria para colocar cuidadosamente los datos secretos de la víctima en las filas que están arriba y debajo de la fila de la memoria del atacante.
Así como la disposición que se ilustra en la imagen, de modo que el bit que se invierte en las filas del atacante se vuelva dependiente de los valores de la memoria, es decir datos secretos de la víctima.
- Martillar las filas A0 y A2 e inducir cambios de bit en la fila A1 (página Muestreo), cuyo valor inicial se ha establecido en 1, lo que influye en su valor utilizando los datos de la víctima en celdas “secretas”.
“Si el bit se invirtió, el atacante deduce que el valor del bit secreto es 0. De lo contrario, el atacante deduce que el valor es 1”, afirmaron los investigadores en el documento.
“La repetición del procedimiento con bits intercambiables en diferentes desplazamientos en la página, permite al atacante recuperar todos los bits secretos de la víctima”.
Para demostrar este ataque de canal lateral de lectura, los investigadores presentaron un ataque contra OpenSSH 7.9 que se ejecuta en una máquina Linux; aquí extrajeron con éxito una clave RSA-2048 del demonio SSH de nivel root.
Posibles soluciones
Según los investigadores, incluso las protecciones de memoria ECC (Código de corrección de errores), que pueden detectar y corregir los cambios de bits no deseados y también mitigan muchos ataques basados en Rowhammer, no evitan el ataque de RAMBleed.
Si bien DDR3 como DDR4 son vulnerables a los ataques RAMBleed, los investigadores aconsejaron a los usuarios mitigar el riesgo al actualizar su memoria a DDR4 con la actualización de fila dirigida (TRR) habilitada, ya que es más difícil de explotar.
