新FFS Rowhammer攻击劫持Linux虚拟机

　　E安全8月15日讯 阿姆斯特丹自由大学的研究人员发现声名狼藉的Rowhammer攻击再现新版本，新版本可攻击用于云端服务的Linux虚拟机。

　　Rowhammer攻击两年前被发现。当时研究人员曝光后，轰动一时。因为它展示了通过攻击一排内存单元，攻击者可以将二进制0反转为1，反之亦然。

　　只使用连续敲打一排内存单元的恶意软件，攻击者便能操控计算机内存。内存单元翻转二进制数字并影响附近其它行的内存单元也发生翻转。

　　Rowhammer攻击升级改进

　　初始攻击成功破坏DDR3内存，但去年研究人员证明同时也对DDR4有效。

　　当研究人员演示“通过Java实施Rowhammer攻击”时，事情变得更糟糕。也就是说，攻击者能通过互联网攻击电脑内存。

　　2016年5月，研究人员用Rowhammer攻击Win10系统上的Edge浏览器，他们使用内存重复数据删除旁路攻击入侵浏览器，甚至操作系统。

　　同一研究小组上周在USENIX安全研讨会上演示了该攻击的新花样。

　　FFS Rowhammer攻击Linux虚拟机

　　“翻转风水”（Flip Feng Shui ，FFS）是Rowhammer攻击的新变种，也可以结合内存重复数据删除技术，这一过程中，某些操作系统通过寻找重复条目并将其合并来释放记忆卡插槽。

　　这个攻击基本上与对Edge的攻击一致，只是它仅在共享Linux虚拟机的内存上执行。

　　研究人员声称攻击者能购买与受害者共享的云服务器访问权，并使用FFS Rowhammer攻击控制受害者的账号，即使不存在任何软件漏洞。

　　因为攻击者与受害者共享云服务器，他可以实施Rowhammer攻击，选取并创建内存单元目标。内存单元将由Linux内存重复数据删除技术系统 （Linux memory deduplication system，KSM）选取。KSM将结合这些内存单元，通常放入攻击者的记忆卡插槽。

　　研究人员解释道，“在这个阶段，FFS已经通过已知（或可预见）的内容在受害者的物理内存页为攻击者提供了模板化的“比特反转”（bit flip）。利用面仅受制于可用的模块以及它们到达有趣攻击者地址的能力。

　　研究人员表示，易如反掌。他们的在研究报告中提供了两种概念认证攻击，用一位二进制位感染RSA公开密钥，他们便能创建SSH连接到受害者的设备，或修改APT来源并引诱用户安装恶意APT软件包。

　　问题不在Linux虚拟机而是加密软件

　　他们通过研究证明，可以成功攻击Debian和Ubuntu系统。他们已通知Debian和Ubuntu。

　　然而，虽然这两个基于Linux的操作系统正在处理报告的问题，但真正的问题却出在加密软件上，他们表示能破坏加密软件。

　　研究人员表示，“我们发现，虽然FFS出奇地实用和有效，现有的加密软件毫无能力对抗，考虑到比特反转不是威胁模式的一部分。”

　　“更令人担忧的是，我们认为“翻转风水”能用于普遍存在于软件栈中的更多形式和应用， 敦促系统安全人员及时关注这一新型威胁。”（请某客的芒果沙冰和姜饼小人编辑转载时全文转载，勿去掉E安全标示）

　　@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。