Throwhammer la nueva forma de lanzar ataques de Rowhammer a través de paquetes de red

Un equipo de investigadores de la Universidad Vrije en Ámsterdam y la Universidad de Chipre encontró una manera de lanzar ataques de Rowhammer a través de paquetes de red y tarjetas de red.

Esto, de acuerdo con expertos en seguridad informática, hace que los ataques de Rowhammer sean lanzados de una manera más fácil y cómoda, ya que el actor malicioso solo necesita bombardear la tarjeta de red de la víctima con paquetes especialmente diseñados.

thow hammer

Ahora es más simple que los ataques anteriores, ya que requerían que el atacante infectara a la víctima con malware o llevara a las víctimas a acceder a sitios web maliciosos, en donde se cargaría un código de ataque de Rowhammer oculto dentro del JavaScript del sitio.

Este nuevo método de ataque de Rowhammer, Throwhammer, fue detallado en el informe de investigación titulado “Throwhammer: Rowhammer Attacks over the Network and Defenses.”

Se puede llegar a creer que Throwhammer no debería ser posible. Los ataques de Rowhammer funcionan filtrando direcciones de memoria y genera una fila de celdas de memoria para inducir volteos de 0/1 bit en las celdas de memoria cercanas, por lo tanto, modificar datos almacenados dentro de la RAM de una computadora.

Los profesionales en seguridad informática explicaron, que Throwhammer es posible porque los datos enviados a una tarjeta de red se almacenan en caché dentro de la memoria RAM, lo que produce el mismo efecto.

Aunque no todas las tarjetas de red pueden manejar la gran cantidad de tráfico entrante que es necesario para provocar el volcado de Rowhammer. De acuerdo a los expertos, solo las tarjetas de red habilitadas con RDMA son vulnerables.

Los investigadores comentaron que RDMA (Remote Direct Memory Access), es una tecnología que expone la memoria de una computadora a través de una red sin involucrar la CPU y el sistema operativo, esto quiere decir que, puede procesar más paquetes que las tarjetas de red anteriores.

Estas tarjetas de red habilitadas para RDMA se ven con frecuencia en los grandes grupos de computadoras, y particularmente en los centros de datos de computación en la nube.

El ancho de banda de red no es un problema para Throwhammer. “Las NIC modernas son capaces de transferir grandes cantidades de tráfico de red a la memoria remota. En la configuración experimental, se pudieron observar cambios de bits.

Cuando se accede a la memoria 560,000 veces en 64 ms, lo que significa 9 millones de accesos por segundo “, los investigadores en seguridad informática escribieron en el artículo.

“También las tarjetas Ethernet normales de 10 Gbps pueden enviar fácilmente 9 millones de paquetes por segundo a un host remoto que termina almacenado en la memoria del host”, dijeron los profesionales, comentaron que un atacante no necesita una conexión de red rápida para llevar a cabo el ataque, solo es necesaria una tarjeta de red habilitada para RDMA.

Los profesionales también comentaron que fueron capaces de causar volteos de bits en un servidor Memcached remoto simplemente usando paquetes de red y sin necesidad de acciones del usuario.

De acuerdo a los investigadores de seguridad informática, este es el primer caso de un ataque de Rowhammer a través de la red. Este ataque Throwhammer no es algo que cualquier proveedor de la nube agregará como prioridad de su lista de amenazas.

Este ataque es muy teórico, son necesarias muchas condiciones especiales y mucho trabajo para crear paquetes de red Throwhammer que provoquen lanzamientos de bits muy precisos para ejecutar aún más comandos en servidores remotos en la nube o computadoras personales.

Los expertos en seguridad informática comentaron que los proveedores de nubes podrían protegerse fácilmente contra estos ataques con “zonas de guardia”  alrededor de las direcciones de memoria donde el búfer / memoria caché RDMA se escribe, evitando que los cambios de bits afecten información sensible.

En comparación con los ataques anteriores de Rowhammer, Throwhammer es el más peligroso, debido a su modus operandi sin necesidad de interacción del usuario. Las investigaciones arrojaron descubrimientos como:

  • Los ataques de Rowhammer funcionan con las tarjetas de memoria DDR3 y DDR4
  • Los ataques de Rowhammer se pueden ejecutar a través de JavaScript mundano y no mediante malware especializado
  • Los ataques de Rowhammer pueden hacerse cargo de las máquinas virtuales basadas en Linux instaladas en los proveedores de alojamiento en la nube
  • Los ataques de Rowhammer son capaces de rootear dispositivos Android
  • Los ataques de Rowhammer se pueden lanzar con la ayuda de tarjetas GPU
(Visited 283 times, 1 visits today)