×

Laat je stem gelden!

Dit jaar organiseren we voor de elfde keer de Tweakers Awards! Wat vind jij de beste tech- en elektronicaproducten van het afgelopen jaar? Laat je stem gelden en ontvang 50 ippies. Je maakt bovendien kans op een Philips Hue Starter Pack, JBL Charge 3, Call of Duty: WWII of twee vrijkaarten voor de uitreiking op donderdag 1 februari!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Flip Feng Shui-aanval maakt lekken van ssh-sleutel uit vm mogelijk

Onderzoekers van de Vrije Universiteit en de KU Leuven hebben een aanval op virtual machines gepresenteerd. Deze draagt de naam 'Flip Feng Shui' en maakt het mogelijk om het geheugen van een andere virtual machine op dezelfde host te manipuleren en zo bijvoorbeeld ssh-sleutels te stelen.

De aanval werkt doordat virtual machines op dezelfde host gebruikmaken van een gedeeld fysiek geheugen, zo stellen de onderzoekers op hun pagina. Voor de uitvoering van Flip Feng Shui is het eerst nodig om met de vm van de aanvaller geheugencellen te identificeren die vatbaar zijn voor een zogenaamde Rowhammer-aanval. Deze werkt door snel achter elkaar bepaalde geheugenrijen te activeren, waardoor de staat van een cel veranderd wordt en een bit van 0 naar 1 geflipt kan worden. Vervolgens genereert een aanvaller een geheugenpagina, waarvan de inhoud overeenkomt met een pagina van de slachtoffer-vm.

Daarna dedupliceert het systeem de beide pagina's, omdat de inhoud gelijk is. Dedupliceren is een techniek waarmee geheugen kan worden bespaard. Deze aanvalsvorm kwam bijvoorbeeld ook voor in eerder onderzoek van het team van wetenschapper Herbert Bos, die ook aan dit onderzoek heeft meegewerkt. Zodra de inhoud van de pagina's op één fysieke geheugenpagina is samengevoegd, kan de aanvaller door middel van een Rowhammer-aanval het geheugen van het slachtoffer manipuleren. Daarbij worden de bits direct in het dram-geheugen geflipt.

Flip Feng Shui, oftewel FFS, maakt het bijvoorbeeld mogelijk om op die manier de bits van een in het geheugen opgeslagen OpenSSH-sleutel te flippen, waardoor deze sleutel achterhaald kan worden. Zo kan de aanvaller toegang krijgen tot de volledige server van het slachtoffer. Een ander voorbeeld dat de onderzoekers beschrijven, is het manipuleren van het 'apt get'-commando, waardoor kwaadaardige software op de vm van het slachtoffer geïnstalleerd kan worden.

Daardoor is de impact van de aanval groot en zijn alle systemen die geheugendeduplicatie ondersteunen, kwetsbaar. Ook blijkt uit eerder onderzoek dat 85 procent van alle ddr3-modules vatbaar is voor Rowhammer. Tot nu toe waren aanvallen op virtual machines vaak beperkt tot sidechannel-technieken, die zich richtten op het afluisteren van gegevens. In dit geval gaat het echter om een actieve aanval.

Het Nederlandse NCSC is voor de presentatie van de aanval door de onderzoekers ingelicht en heeft een factsheet met een vraag-en-antwoordgedeelte gepubliceerd. Ook zijn partijen als OpenSSH, GnuPG, Oracle, VMware, Xen en Ubuntu van de aanval op de hoogte gesteld. De onderzoekers maken deel uit van VUSec, de Systems and Networking Security-groep van de Vrije Universiteit in Amsterdam, en de KU Leuven. Het huidige onderzoek is te vinden op de website van de onderzoeksgroep.

Een demonstratie van Flip Feng Shui, waarbij een ssh-sleutel wordt achterhaald.

Door

Nieuwsredacteur

38 Linkedin Google+

Reacties (38)

Wijzig sortering

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*