Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Flip Feng Shui-aanval maakt lekken van ssh-sleutel uit vm mogelijk

Door , 38 reacties

Onderzoekers van de Vrije Universiteit en de KU Leuven hebben een aanval op virtual machines gepresenteerd. Deze draagt de naam 'Flip Feng Shui' en maakt het mogelijk om het geheugen van een andere virtual machine op dezelfde host te manipuleren en zo bijvoorbeeld ssh-sleutels te stelen.

De aanval werkt doordat virtual machines op dezelfde host gebruikmaken van een gedeeld fysiek geheugen, zo stellen de onderzoekers op hun pagina. Voor de uitvoering van Flip Feng Shui is het eerst nodig om met de vm van de aanvaller geheugencellen te identificeren die vatbaar zijn voor een zogenaamde Rowhammer-aanval. Deze werkt door snel achter elkaar bepaalde geheugenrijen te activeren, waardoor de staat van een cel veranderd wordt en een bit van 0 naar 1 geflipt kan worden. Vervolgens genereert een aanvaller een geheugenpagina, waarvan de inhoud overeenkomt met een pagina van de slachtoffer-vm.

Daarna dedupliceert het systeem de beide pagina's, omdat de inhoud gelijk is. Dedupliceren is een techniek waarmee geheugen kan worden bespaard. Deze aanvalsvorm kwam bijvoorbeeld ook voor in eerder onderzoek van het team van wetenschapper Herbert Bos, die ook aan dit onderzoek heeft meegewerkt. Zodra de inhoud van de pagina's op één fysieke geheugenpagina is samengevoegd, kan de aanvaller door middel van een Rowhammer-aanval het geheugen van het slachtoffer manipuleren. Daarbij worden de bits direct in het dram-geheugen geflipt.

Flip Feng Shui, oftewel FFS, maakt het bijvoorbeeld mogelijk om op die manier de bits van een in het geheugen opgeslagen OpenSSH-sleutel te flippen, waardoor deze sleutel achterhaald kan worden. Zo kan de aanvaller toegang krijgen tot de volledige server van het slachtoffer. Een ander voorbeeld dat de onderzoekers beschrijven, is het manipuleren van het 'apt get'-commando, waardoor kwaadaardige software op de vm van het slachtoffer geïnstalleerd kan worden.

Daardoor is de impact van de aanval groot en zijn alle systemen die geheugendeduplicatie ondersteunen, kwetsbaar. Ook blijkt uit eerder onderzoek dat 85 procent van alle ddr3-modules vatbaar is voor Rowhammer. Tot nu toe waren aanvallen op virtual machines vaak beperkt tot sidechannel-technieken, die zich richtten op het afluisteren van gegevens. In dit geval gaat het echter om een actieve aanval.

Het Nederlandse NCSC is voor de presentatie van de aanval door de onderzoekers ingelicht en heeft een factsheet met een vraag-en-antwoordgedeelte gepubliceerd. Ook zijn partijen als OpenSSH, GnuPG, Oracle, VMware, Xen en Ubuntu van de aanval op de hoogte gesteld. De onderzoekers maken deel uit van VUSec, de Systems and Networking Security-groep van de Vrije Universiteit in Amsterdam, en de KU Leuven. Het huidige onderzoek is te vinden op de website van de onderzoeksgroep.

Een demonstratie van Flip Feng Shui, waarbij een ssh-sleutel wordt achterhaald.

Door Sander van Voorst

Nieuwsredacteur

10-08-2016 • 13:43

38 Linkedin Google+

Reacties (38)

Wijzig sortering
Bottom line is dat data in systemen die op een virtuele machine draaien niet veilig is. Dit komt omdat het niet mogelijk is om een OS helemaal perfect virtueel te draaien. Zo is het altijd mogelijk voor een programma om te checken of hij in een virtuele machine draait. Veel virussen maken hier gebruik van en doen niets als zij in een VM draaien om zo beveiligings-onderzoekers het werk moeilijker te maken.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*