Onderzoekers demonstreren nieuwe aanval op virtuele servers
Onderzoekers van de Vrije Universiteit Amsterdam en de Katholieke Universiteit Leuven hebben tijdens een beveiligingsconferentie in de Verenigde Staten een nieuwe aanval op virtuele servers laten zien. De aanval wordt Flip Feng Shui genoemd en laat een aanvaller via zijn eigen virtual machine (vm) wijzigingen in het geheugen van een andere vm aanbrengen. Zo kan de vm van het doelwit direct worden aangevallen.
In veel gevallen draaien er op servers meerdere virtual machines, die bijvoorbeeld als webserver worden gebruikt. Een aanvaller die een virtual machine op de server van een virtual machine-aanbieder heeft kan via Flip Feng Shui vervolgens ander virtual machines op dezelfde server aanvallen. Via de aanval is het onder andere mogelijk om encryptiesleutels te stelen waarmee de aanvaller op de virtual machine van het slachtoffer kan inloggen. Een andere mogelijkheid is het manipuleren van het updatemechanisme (apt-get) van de aangevallen virtual machine, waardoor die in plaats van een update malware installeert.
De aanval, die gebruikmaakt van een hardware-kwetsbaarheid om het werkgeheugen van de server te manipuleren, bestaat uit drie fases. Tijdens de eerste fase wordt het werkgeheugen aangevallen. Hierbij maken de onderzoekers gebruik van de Rowhammer-kwetsbaarheid die eerder door Google werd ontdekt. Vervolgens wordt tijdens de volgende twee fases het geheugen gemanipuleerd dat de virtual machine van het doelwit in gebruik heeft.
Voor de publicatie van het onderzoek hebben de onderzoekers verschillende partijen ingelicht, waaronder OpenSSH, GnuPG, Debian en Ubuntu en leveranciers van hypervisors, zoals Oracle, Redhat, Xen en VMware. Alle partijen hebben op het onderzoek gereageerd. Ook werd het Nationaal Cyber Security Center (NCSC) van de overheid ingelicht, dat vervolgens grote cloudaanbieders heeft gewaarschuwd. Ook heeft net NCSC uitleg (pdf) over de aanval online gezet. Cloudaanbieders die hun gebruikers willen beschermen krijgen het advies geheugen-deduplicatie uit te schakelen. Hieronder een video waarin de aanval wordt gedemonstreerd.
Ik dacht dat de meeste server systemen toch wel ECC hebben.
Ik dacht dat de meeste server systemen toch wel ECC hebben.
De meeste cloudaanbieders hebben inderdaad ECC, maar wat als je als malware researcher wil voorkomen dat de malware uit de vm breekt? Denk je dat dat belangrijk is? En dat het de schuld van de researcher is dat zijn desktop ECC niet ondersteunt?
Ik denk dat er tegenwoordig nogal wat onderzoekers zich bezighouden met "kijk ons eens onderzoeken!" en daar fijne
publicaties van maken. Het zou denk ik beter zijn als ze zich met wat serieuzere zaken bezig houden dan met wat
er gebeurt als je computer defect is of niet voor de taak geschikt.
Ik dacht dat de meeste server systemen toch wel ECC hebben.
De meeste cloudaanbieders hebben inderdaad ECC, maar wat als je als malware researcher wil voorkomen dat de malware uit de vm breekt? Denk je dat dat belangrijk is? En dat het de schuld van de researcher is dat zijn desktop ECC niet ondersteunt?
Ook al zit er ECC RAM in hun servers kunnen cloudaanbieders alsnog het zekere voor het onzekere nemen, zo demonstreert TransIP: https://www.transip.nl/nieuws-en-acties/informatie-over-de-flip-feng-shui-flaw/.
De auteurs van het artikel geven al aan, dat in het geval van ECC multi-bit flips (uncorrectable memory errors) het lastig aan te geven is of deze betrouwbaar te exploiten valt. Deze twijfel kan aanbieders dus overhalen om toch maatregelen te nemen, zelfs bij ECC geheugen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
