Nový javascriptový útok ASLR⊕Cache vyřadí ASLR na 22 procesorech

16. 2. 2017

Pětice výzkumníků z Nizozemí našla nový javascriptový útok ASLR⊕Cache nebo AnC, který vyřadí ASLR (address space layout randomization) na 22 procesorech. Postižené jsou procesory Intel (CVE-2017–5925), AMD (CVE-2017–5926) a ARM (CVE-2017–5927). Navíc je tu chyba implementace JS v prohlížečích CVE-2017–5928.

Útokem je EVICT+TIME zaměřený na MMU (memory management unit). Tato část procesoru je sdílena všemi aplikacemi včetně prohlížeče. Například na architektuře x86_64 ASLR s méně než 36 bity entropie je zranitelné. K útoku lze využít Firefox i Chrome. WebKit by již měl obsahovat protiopatření. Kód je dostupný na GitHubu. Více detailů v článku (články 1 a 2 jsou v současné době nedostupné).

(zdroj: slashdot)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

16. 2. 2017 10:00

Havis (neregistrovaný)

Web Archive ma ulozeny ten prvy clanok:
http://web.archive.org/web/20170216070420/http://www.cs.vu.nl//~herbertb/download/papers/anc_ndss17.pdf

Prvy HW cache-attack, ktory vyuzival Javascript namiesto nativneho kodu bol "The Spy in the Sandbox" (https://arxiv.org/pdf/1502.07373v2.pdf), Vtedy to bolo pouzite myslim na side-channel komunikaciu. No a odvtedy sa s HW-Cache-MMU utokmi v Javascripte akoby roztrhlo vrece :)
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2017 10:58

Ondřej Novák

A teď pro laiky... Jaké z toho hrozí nebezpečí?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2017 11:32

P_V

Že ASLR v podobě jak je implementováno, je nepoužitelné jako ochrana před zneužitím jiných možných chyb.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2017 16:44

Fík

Zlatý podporovatel

oba články už jsou dostupné, patrně to byl https://en.wikipedia.org/wiki/Slashdot_effect
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2017 18:06

j (neregistrovaný)

Tak hlavne ze se zbavime deravyho flashe ... a budeme mit misto nej ... jeste deravejsi javascript.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2017 18:16

Ondra Satai Nekola

Zlatý podporovatel

Co přesně je na tomhle útoku specifické pro js?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2017 19:02

j (neregistrovaný)

Zeby nekola to, ze js se stejne jako flash vola z ... webu (teda prevazne) ??? To ze se stejnej utok da udelat z Ccka binarkou kterou si user spusti nic nemeni na tom, ze je deravej ten js ... no nic spi dal, ty se neproberes nikdy.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2017 22:10

LH (neregistrovaný)

Zdaaarek.

Zrejme doslo k nedorozumeniu. Ta cast vety "ze je deravej ten js" nie je v kontexte toho dokumentu pravdiva resp. ak pripustime, ze je pravdiva tak nepodstatna. Pani demonstrovali to, ze problem je v architekture spravy cache v modernych procesoroch (MMU) a ze spravanie sa cache v tychto systemoch je mozne vyuzit v prospech derandomizacie virtualnych adries pamatovych regionov (code a data) cielovych procesov (obeti) so zakladnymi pamatovymi opravneniami. Zakladne pamatove opravnenia boli preukazane tym, ze derandomizacia bola uspesna aj z tak restriktivneho prostredia ako je javascriptovy kod v priehladaci (vacsinou spustany v urcitej forme sw klietky (sandbox)).

;-)

Cast z dokumentu
"In this paper, we show that the problem is much more serious and that ASLR is fundamentally insecure on modern cache-based architectures. Specifically, we show that it is possible to derandomize ASLR completely from JavaScript, without resorting to esoteric operating system or application features. Unlike all previous approaches, we do not abuse weaknesses in the software (that are relatively easy to fix). Instead, our attack builds on hardware behavior that is central to efficient code execution: the fast translation of virtual to physical addresses in the MMU by means of page tables.

Mitigating this attack without naively disabling caches is hard, since it targets the low-level operations of the MMU.We conclude that ASLR is fundamentally flawed in sandboxed environments such as JavaScript and future defenses should not rely on randomized virtual addresses as a building block."
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2017 22:23

j (neregistrovaný)

Ta cast vety je pravdiva zcela 100%. js interpretuje browser, a deravej je pochopitelne ten, ale je to js, kterej ti umozni tu diru vyuzit. A ze tohle konkretne neni tak uplne dira ani toho browseru nic nemeni na tom, ze porad muzes js vyuzit k napadeni zcela nesouvisejicich casti systemu => deravej je js.

Pokud prijmu tvoji argumentaci, tak flash je zcela neskodna a zcela bezpecna vec, protoze vse co dela dela vyhradne prostrednicvim operacniho systemu, tudiz pokud dela neco co nema, muze za to vyhradne system.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 2. 2017 0:26

Tany

Když vidličkou otevřu zámek, tak není špatná ta vidlička, ale ten zámek.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2017 22:39

tnr (neregistrovaný)

No a jake je tve reseni?) Zakazat js? To je reseni ala jak vyresit nehody na silnici -> zrusit auta))

Samozrejme nesmysl. Problem je v hw a jen to ukazuje,ze aslr nefunguje...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 2. 2017 9:08

j (neregistrovaný)

A ty misto zruseni aut navrhujes zbourat silnice ...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2017 19:51

Lol Phirae (neregistrovaný)

A už to má vlastní logo?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2017 22:25

j (neregistrovaný)

Prave resej, jestli to bude pandoliska nebo liskopanda.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 2. 2017 0:17

Starous (neregistrovaný)

Imho ten javascript je tam zajimavy hlavne protoze je to example untrusted kodu, podstatne je ze kdyz jsem schopny neco spustit, dokazu podle toho zjistil z cpu cache informace o rozlozeni adres v pameti a mohu zneuzit chyby ve sprave pameti protoze najednou vim kde ta pridelena pamet zacina a konci.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 2. 2017 9:13

j (neregistrovaný)

Presne o tom to je, jenze jedna vec je neco sputit lokalne a jina vzdalene. Kdyby exaktne totez bylo mozny udelat jen lokalne, tak je to radove mensi problem, nez kdyz se to da udela js, tzn vzdalene kdykoli odkudkoli. Coz samozrejme nekteri tupohlavove nedokazou pochopit.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 2. 2017 9:40

Filip Jirsák

Stříbrný podporovatel

Že to dokážete vyvolat vzdáleně ovšem není moc svázané s JavaScriptem. Ten příklad ukazuje, jak ten útok provést pomocí interpretu JavaScriptu instruovaného vhodným JavaScriptovým kódem. Vzdáleně ale můžete ovlivnit i chování interpretu HTML, interpretu SVG, interpretu CSS, rendereru obrázků, rendereru PDF, přehrávače videa a všech dalších komponent, které interpretují data přijatá ze serveru. Můžou existovat implementace firewallu, kde bude možné tu chybu zneužít vhodnou sestavou paketů. Můžete k tomu přinutit parser HTTP, můžete zneužít knihovnu, která se stará o SSL. Můžete k tomu volbou vhodných kritérií výběru přinutit databázi. Ta chyba je zkrátka na úrovni procesoru, a jde jen o to, jaká data předhodit vyšším vrstvám aplikací, aby provedly potřebný kód na procesoru.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 2. 2017 10:00

j (neregistrovaný)

Tak to pomoci html predved, uz se tesim, predevsim na to, jak pomoci html odesilas nejaky data nazpatek.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 2. 2017 10:47

LH (neregistrovaný)

Zdaaarek.

Tak ako pisete Vy + tak ako rozumne do diskusie prispeli aj Havis, P_V, tnr, Starous, ktory spravne poukazuju na to, ze je problem na nizsich urovniach (teda HW/CPU) si myslim, ze dalsia debata s clovekom skryvajucim sa za pseudonymom "j" nema zmysel. Nic v zlom "j", ale jednoducho si nerozumieme, ale to nevadi.

Prajem prijemny den.

;-)
- Zobrazit celé vlákno