Onderzoekers van de Vrije Universiteit en de KU Leuven hebben een aanval op virtual machines gepresenteerd. Deze draagt de naam 'Flip Feng Shui' en maakt het mogelijk om het geheugen van een andere virtual machine op dezelfde host te manipuleren en zo bijvoorbeeld ssh-sleutels te stelen.
De aanval werkt doordat virtual machines op dezelfde host gebruikmaken van een gedeeld fysiek geheugen, zo stellen de onderzoekers op hun pagina. Voor de uitvoering van Flip Feng Shui is het eerst nodig om met de vm van de aanvaller geheugencellen te identificeren die vatbaar zijn voor een zogenaamde Rowhammer-aanval. Deze werkt door snel achter elkaar bepaalde geheugenrijen te activeren, waardoor de staat van een cel veranderd wordt en een bit van 0 naar 1 geflipt kan worden. Vervolgens genereert een aanvaller een geheugenpagina, waarvan de inhoud overeenkomt met een pagina van de slachtoffer-vm.
Daarna dedupliceert het systeem de beide pagina's, omdat de inhoud gelijk is. Dedupliceren is een techniek waarmee geheugen kan worden bespaard. Deze aanvalsvorm kwam bijvoorbeeld ook voor in eerder onderzoek van het team van wetenschapper Herbert Bos, die ook aan dit onderzoek heeft meegewerkt. Zodra de inhoud van de pagina's op één fysieke geheugenpagina is samengevoegd, kan de aanvaller door middel van een Rowhammer-aanval het geheugen van het slachtoffer manipuleren. Daarbij worden de bits direct in het dram-geheugen geflipt.
Flip Feng Shui, oftewel FFS, maakt het bijvoorbeeld mogelijk om op die manier de bits van een in het geheugen opgeslagen OpenSSH-sleutel te flippen, waardoor deze sleutel achterhaald kan worden. Zo kan de aanvaller toegang krijgen tot de volledige server van het slachtoffer. Een ander voorbeeld dat de onderzoekers beschrijven, is het manipuleren van het 'apt get'-commando, waardoor kwaadaardige software op de vm van het slachtoffer geïnstalleerd kan worden.
Daardoor is de impact van de aanval groot en zijn alle systemen die geheugendeduplicatie ondersteunen, kwetsbaar. Ook blijkt uit eerder onderzoek dat 85 procent van alle ddr3-modules vatbaar is voor Rowhammer. Tot nu toe waren aanvallen op virtual machines vaak beperkt tot sidechannel-technieken, die zich richtten op het afluisteren van gegevens. In dit geval gaat het echter om een actieve aanval.
Het Nederlandse NCSC is voor de presentatie van de aanval door de onderzoekers ingelicht en heeft een factsheet met een vraag-en-antwoordgedeelte gepubliceerd. Ook zijn partijen als OpenSSH, GnuPG, Oracle, VMware, Xen en Ubuntu van de aanval op de hoogte gesteld. De onderzoekers maken deel uit van VUSec, de Systems and Networking Security-groep van de Vrije Universiteit in Amsterdam, en de KU Leuven. Het huidige onderzoek is te vinden op de website van de onderzoeksgroep.
Een demonstratie van Flip Feng Shui, waarbij een ssh-sleutel wordt achterhaald.