Un equipo de expertos en seguridad en redes de Australia y Estados Unidos ha publicado una investigación que revela una nueva variante del ataque Rowhammer. Detectado por primera vez en 2014, Rowhammer consiste en atacar las celdas de memoria RAM con constantes operaciones de lectura y escritura que modifican la carga eléctrica de las celdas de memoria, alterando los bits de datos (de 0 a 1 y a la inversa), alterando la información almacenada en la memoria.
A diferencia de la primera versión de Rowhammer, esta nueva variante de ataque, conocida como RAMBleed, puede ser usada para robar información del dispositivo objetivo. Con el paso del tiempo los expertos han descubierto nuevos métodos para realizar ataques Rowhammer, pero en esta ocasión, los expertos en seguridad en redes descubrieron una serie de pasos para extraer datos de una tarjeta RAM de forma activa.
Para esto, los investigadores tuvieron que idear y combinar diferentes técnicas que, en conjunto, permitirían el ataque; entre los pasos necesarios están:
- Los investigadores encontraron una forma de abusar del algoritmo buddy memory allocation para asignar un enorme bloque de memoria de direcciones físicas consecutivas para desplegar el ataque
- Posteriormente los investigadores diseñaron un nuevo mecanismo, llamado “Frame Feng Shui”, para colocar las páginas del programa de la víctima en un lugar deseado de la memoria física
- Posteriormente, los investigadores desarrollaron un nuevo método para organizar los datos en la memoria y atacar las filas para deducir qué datos están almacenados en las celdas de memoria más cercanas en lugar de sólo cambiar el valor de cada bit
Acorde a los expertos en seguridad en redes, el ataque RAMBleed se presenta cuando el atacante actúa sobre las filas de memoria A0 y A2 y accede a las modificaciones en la fila A1, cerca de los “bloques secretos” del área seleccionada para la prueba.
Organizando cuidadosamente los datos dentro de la RAM en un formato seleccionado por el atacante, éste puede leer los cambios de bits en áreas cercanas a donde los “datos secretos” se almacenan. Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS) combinando estas nuevas técnicas es posible extraer información como claves RSA de un servidor OpenSSH en un sistema operativo Linux.
Información complementaria sobre el ataque RAMBleed, identificado como CVE-2019-0174, está disponible en la investigación publicada por los expertos.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad