Onderzoekers van IBM Research hebben een aanval via het bestandssysteem gedemonsteerd, waardoor rootrechten te verkrijgen zijn. De aanval lijkt op de Rowhammer-methode waarbij individuele bits geflipt worden, maar is minder nauwkeurig.

De onderzoekers schrijven in hun Usenix-paper dat het verschil tussen een Rowhammer-aanval en hun eigen methode is dat de eigen techniek ervoor zorgt dat hele geheugenblokken worden 'geflipt'. Dat is echter alsnog genoeg om roottoegang te verkrijgen via privilege escalation. Ze bouwen voort op eerder onderzoek van twee universiteiten en Seagate, dat aantoonde dat een Rowhammer-achtige aanval niet alleen mogelijk is op dram, maar ook op ssd's. Dat onderzoek demonstreerde echter geen succesvolle aanval.

De Rowhammer-techniek werkt door snel achter elkaar bepaalde geheugenrijen te activeren, waardoor de staat van een cel veranderd wordt en een bit van 0 naar 1 geflipt kan worden. De huidige aanval maakt gebruik van het feit dat het mogelijk is bits te flippen in flash-geheugen doordat er interferentie is tussen aan elkaar grenzende geheugencellen. Daarbij moeten ze ervoor zorgen dat scrambling en ecc door de flash controller geen barrière vormen voor de aanval. Deze technieken zorgen ervoor dat geen directe Rowhammer-aanval mogelijk is.

Daarom gingen de onderzoekers voor een 'ongecontroleerde willekeurige aanpassing van een geheugenblok', wat het meest realistische scenario was. Daarbij mocht datacorruptie niet in een fatale systeemfout resulteren, waardoor de aanval zou mislukken. Ook moest er in een veelgebruikt geheugenblok geschreven worden en moest de schrijfactie ervoor zorgen dat er een situatie ontstaat waardoor het verhogen van rechten mogelijk wordt.

Uiteindelijk lukte het de onderzoekers om een aanval via het bestandssysteem uit te voeren die aan de gestelde eisen voldeed en leidde tot privilege escalation. In het paper beschrijven de onderzoekers een 'verbeterde variant' van de aanval, waarbij ze ervan uitgaan in staat te zijn een bestand van 100GB in een ext3-bestandssysteem met een blokgrootte van 4kB aan te maken. Dat zou de kans van een succesvolle aanval op 99,7 procent verhogen. Ze vermelden dat een dergelijke aanval voorkomen kan worden door schijfencryptie toe te passen, bijvoorbeeld dm-crypt.

Bij de aanval zijn ze ervan uitgegaan dat de aanvaller toegang heeft tot het systeem met een account met lage rechten. Dat hoeft geen fysieke toegang te zijn, maar kan ook via een shell. De onderzoekers hebben nog geen andere manier gevonden dan een aanval via het bestandssysteem. Zij vermoeden wel dat het mogelijk is om een dergelijke aanval via javascript in een browser uit te voeren, aangezien deze indirect toegang heeft tot het bestandssysteem.

Update, 21:08: Zoals tweaker Sebazzz aangeeft, hebben de onderzoekers gemeld dat het niet om een aanval op ssd's gaat. Het artikel is aangepast om deze verwarring weg te nemen.