信息无障碍通道
您的位置:首页>>业界动态

Black Hat Asia 2019 | PC安全机制又招“重锤”,百度安全发现新型Rowhammer攻击方法

发布时间:2019-04-10  来源:互联网    背景: 无障碍通道

  自从Rowhammer漏洞首次出现以来,研究者与防御者之间可以说从此上演了一场军备竞赛,一招一式之间彰显各方技术实力。就在最近,百度安全实验室资深研究员Yueqiang Cheng博士和新南威尔士大学的Zhi Zhang博士就祭出大招,他们发现了一种新型Rowhammer攻击方法,可以有效攻破目前PC上的各种防御机制,从而使得整个PC安全机制面临崩塌的风险。

  凭借此项研究,百度安全成功入选了本届Black Hat Asia,成为本届大会“连中三元”的赢家。3月26日,Yueqiang Cheng博士和Zhi Zhang博士受邀出席大会并在演讲中详细介绍了Rowhammer新型攻击方法和防御思路。

  Black Hat是国际安全工业界的顶级会议之一,具有广泛的影响力。每年分别在美国、欧洲、亚洲各举办一次安全信息技术峰会,会议聚焦于先进安全研究、发展和趋势,并以其强技术性、权威性、客观性引领未来安全思想和技术的走向。为保证会议内容的技术先进性和客观性,Black Hat对报告内容有严苛的评审机制,报告入选率不足20%。近年来,百度安全多次登上Black Hat的舞台,分享在AI安全、移动安全等领域的研究与实践成果。

  百度安全发现最全新Rowhammer攻击方法

  这几年,硬件内存容量正在大幅度上涨,这直接要求着每个单独DRAM芯片上的存储容量也要提升,存储单元的密度显著增加。当频繁轰炸多个DRAM内存单元时,其相邻行的电荷将会发生相互干扰,触发DRAM单元极间的相互作用,造成DRAM中比特位数值的永久翻转,这意味着攻击者可以在不访问目标内存区域的前提下使目标内存区域产生数据错误。这就是Rowhammer比特翻转攻击。

  攻击者可以利用它破坏MMU强制执行的内存保护,从而获得权限提升。值得关注的是,在这个过程中攻击者不需要借助任何软件漏洞,便能打破沙盒,攻击内核甚至虚拟机监控器,从而获得非法提权,造成用户隐私泄漏或者帐号资产被盗等严重损失。

  这一存在设备硬件端的漏洞,已然超越了传统安全软件的对于解决方案的认识,无法仅仅通过升级操作系统软件来解决。但为了抵御该攻击,业界还是提出了不少防护措施。基于硬件的防护措施需要硬件厂商修改硬件标准,对硬件进行升级,对现有的硬件无法进行防护。因此,具有实用性的软件防护机制是目前主流的防御办法。

  在这些软件防御中,基于内核的memory isolation是最有效和实用的解决方案(CATT Usenix Security 2017)。该方案将物理内存分割成若干隔离的物理分区,并确保每一个分区只能被一个软件域使用,由任意软件域发起的内存访问只能由它所分配的物理分区完成,因此,任何软件域所触发的位翻转只能发生在该域所在的分区,从而防止软件域逃逸而引起权限提升。

  此次演讲中,来自百度安全的Yueqiang Cheng博士展示了一种全新的攻击方法,可以有效攻破上述目前最先进的memory isolation机制,从而使得Rowhammer攻击内核变得可能。该方法证明在现代操作系统中,物理隔离也表现的回天乏术。

  具体来说,之前基于内核的memory isolation机制基于静态ownership来决定所有权的归属。比如内核申请的内存属于内核域,用户申请的内存属于用户域。但是Yueqiang Cheng博士发现,在现代的内核里面,内存的归属权往往是动态变动的,而且会有多个所有者的情况,比如大量mmap的内核内存,都同时有两个拥有者。通过这样的内存,攻击者就有机会发起Rowhammer,获得内核权限。该攻击分为以下几个步骤:

  1.寻找到符合要求的内存。此次攻击里面使用了SCSI驱动的内存和Video驱动的内存。这样的内存都具有两个所有者。

  2.百度安全提出了全新的memory ambush技术,将其隐蔽的放置页表页面在目标周围。相比以往的Rowhammer技术往往需要申请大量的内存,甚至有些时候会引起系统的崩溃等不稳定情况出现。而memory ambush技术巧妙的搭建在Linux Buddy Alloctor的基础上,可以有效且准确的控制目标内存。在实验环境下面,仅仅使用88MB内存就可以发起攻击。

  3.使用side-sided Rowhammaer技术对目标内存(比如页表页面)进行攻击,使其发生bit翻转

  4.控制页表去任意修改内核数据和其他程序的代码和数据

  5.修改uid,或者root提权。

  注意这里的memory ambush技术和另外文章another flip (S&P2018)里面用的memory waylaying有着类似的优点(占用内存很小,不会导致系统内存耗尽),但是两者的技术有很大不同。memory ambush技术建立在Linux Buddy Alloctor基础上,而memory waylaying建立在page cache的基础上。另外该another flip文章是从一个non-root process攻击了在同一个user隔离域里面的root process,memory ambush则是从根本上攻击了完全隔离的另外一个域(从user隔离域攻击kernel隔离域)。如果CATT进行了细粒度的隔离域分割,比如把user隔离域分为root-user隔离域和non-root-user隔离域,another flip的攻击就不能成功,但此次百度安全在Black Hat Asia上所展示的攻击依然有效。

  此次新型攻击程序允许普通用户隐蔽地获取Linux系统(Linux 4.x)的root/kernel权限。这对整个系统的完整性和隐私性都会形成重大威胁。获得提权之后,攻击者可以任意获取用户隐私,篡改重要数据,监控用户行为等等种种恶意攻击。

  任重而道远,防御Rowhammer的路还很长

  Rowhammer还活着,比特翻转的风险依然存在。针对此次公布的新型攻击手法,百度安全也介绍了一些防御方案建议,希望这些研究成果能够给内存芯片厂商带来新的思路,提高芯片对于Rowhammer的防御能力。

  第一,将软件域之间的共享内存区域归入低权限的软件域中,因此将该共享内存和高权限的物理分区隔离,阻断Rowahmmer,这需要大量修改系统内核的内存分配子系统,确保共享内存区域不再用于安全敏感数据结构的分配,因此此方案可行性较低;

  第二,将所有数据(包括代码)所在的DRAM单元行进行上下隔离,即数据单元行之间相隔一个无效单元行,因此确保位翻转只会发生在无效行上,避免数据行被影响。此方法的问题在于没有考虑位翻转可以发生在连续多个单元行上,即一个数据单元行可引发相邻的无效单元行以及更远的数据单元行发生翻转,导致权限提升;

  第三,将所有的页表页放在DRAM模块的true cells上,且只有页表页均位于物理地址区域的最高区域,因此确保当页表页发生翻转时只会指向低段的物理地址区域(比特位只会由1到0进行翻转),而不会指向位于高端的页表页,从而防止攻击者获得可写页表页。该方案只保护以页表页可写为目标的Rowhammr攻击,保护范围受限,即当攻击者将页表页翻转指向一个非页表页,如当前进程的cred结构体或者root进程的权限检查代码页,该方案就会失效。最后,它依赖于一个大概率事件,即true cells的位翻转方向是1到0,但该翻转方向的概率是随DRAM模块变化的,并不是恒定的翻转方向,一旦true cells发生从0到1的翻转,那么该方案也会失效。

  总的来说,现有的软件防护只能一定程度地减弱Rowhammer攻击,我们还需要新的软件防护机制来保卫现有的计算机系统,提高黑客的攻击成本。

  在万物互联的趋势下,只有敢于直面问题才能解决问题。百度安全始终倡导通过新一代技术研发与开源,实现对安全问题的快速响应和有效对抗。在在本届Black Hat Asia中,百度安全对于深度神经网络(DNN)模型算法安全性、Rowhammer新型攻击方法、Meltdown新变种三大创新性研究报告成功入选,彰显了百度安全在AI安全、系统安全、软件安全等重要安全领域方面具有世界领先的技术储备。未来,百度安全还将继续联手学界、业界和监管机构一道,协作共赢,打造AI时代的安全生态。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
BCS 2020“安全运营中心建设与发展高峰论坛”成功召开
8月12日,BCS 2020安全运营中心建设与发展高峰论坛成功召开。论坛邀请到中国电子信息产业发展研究院...
日期:08-12
BCS 2020举办区块链安全论坛 多方专家共议区块链在垂直行业的应用
8月11日下午,有着网络安全行业“达沃斯”之称的北京网络安全大会(以下简称BCS 2020),正...
日期:08-12
腾讯Q2财报:小程序交易额环比回升 公众号内容消费重焕活力
8月12日,腾讯发布二季报,数据显示,2020年上半年实现收入1148.83亿元,同比增长29%;Non-IFRS净利润301...
日期:08-12
应对联发科强劲需求,芯片测试商京元电子与矽格准备提高产能
8 月 12 日消息,据国外媒体报道,在此前的报道中,外媒曾提到在 5G 智能手机处理器方面有很大进展...
日期:08-12
摩托罗拉新机XT2081-2获FCC认证:配5000mAh电池
据外媒报道,一款型号为XT2081-2的摩托罗拉手机出现在FCC认证网站上。虽然该网站没有透露手机的营销...
日期:08-12
苏宁易购引领未来零售5G发展趋势,终端裂变重塑零售形态
近日,全场景智慧零售服务商苏宁易购与全球化监测和数据分析公司尼尔森联合发布首份零售行业5G应用发...
日期:08-12
台积电 3 家晶圆厂设备供应商 7 月营收同比大增,最高接近 80%
8 月 12 日消息,据国外媒体报道,为苹果等公司代工芯片的台积电,近几年在芯片制程工艺方面走在行...
日期:08-12
京东全资控股五星电器,成立新公司 “京东五星电器集团”
8 月 12 日消息,京东宣布全资控股五星电器,成立新公司拟定名为京东五星电器集团有限公司。
日期:08-12
BCS2020技术峰会:内生安全框架推动网络安全技术体系升级
8月12日,2020北京网络安全大会(BCS 2020)技术峰会正式召开。来自中、美、以等全球顶级的网络安全技...
日期:08-12
消息称三星与 ARM 和 AMD 合作,目标成为第一大 Android 应用处理器制造商
8 月 12 日消息 据 Business Korea 的最新报道,三星的目标是通过与 ARM 和 AMD 合作,成为第一大 A...
日期:08-12
近80% CEO预测远程办公是趋势 BCS2020举行远程办公与智能终端安全论坛
今年年初,突如其来的新冠“黑天鹅”,加速了远程办公的落地,远程办公系统与智能终端安...
日期:08-12
卢伟冰:Redmi K30 Pro因高刷缺席被喷 这次投入2亿重做K30至尊纪念版
作为Redmi的旗舰产品,Redmi K30 Pro因60Hz AMOLED屏成为不少米粉心中的小遗憾。
日期:08-12
Facebook 面临新指控:Instagram 被诉非法收集用户生物识别数据牟利
Facebook 最近又面临一项新的指控,称该公司非法收集用户的生物识别数据。这次诉讼的对象是 Faceboo...
日期:08-12
一加Nord新配色将于10月初推出 还有更便宜版本出售
据外媒消息,一加将于10月初推出一加Nord新配色——尘灰色(Gray Ash)。
日期:08-12
Realme证实C12/C15入门新机即将登陆印度市场 售价或低于10000卢比
在曝光了各种认证信息后不久,Realme 已证实将向印度市场投放 C12 和 C15 入门新机。早些时候,售价...
日期:08-12
TCL 发布 Mini LED 屏电视:最高支持 120Hz 可变刷新率
TCL 发布了最新一代 5 系列和 6 系列 Roku 电视,其中 6 系列电视最大特点是有 Mini LED 显示背光技...
日期:08-12
Nutanix混合云基础架构现已支持亚马逊云服务(AWS)
携手AWS,Nutanix Clusters支持应用云间无缝迁移及统一操作,助力企业加速云上旅程
日期:08-12
消息称可折叠苹果 iPad 2023 年发布:无铰链 + 屏下摄像头 + 3nm 芯片
关于可折叠 iPad 的讨论已经在进行中,有传言称该平板电脑的显示尺寸与 MacBook 相当。今天,推特爆...
日期:08-12
XSKY星辰天合发布全新下一代分布式文件系统XGFS
非结构化数据正以前所未有的速度增长。IDC的预测表明,到2025年,全球将有80%的数据是非结构化的。...
日期:08-12
买iPhone最值的时候来了!京东热8购物季iPhone 11低至4599元
暑假过半,考研复习进入关键时期。考研是一项全靠主观能动性的学习,调整好复习状态固然重要,但学...
日期:08-12
  专栏介绍
徐彬 的专栏
徐彬发表的文章
积分:
自我介绍 :