Throwhammer la nueva forma de lanzar ataques Rowhammer a través de paquetes de red

Un quipo de investigadores en Amsterdam, encontró una manera de lanzar ataques de Rowhammer a través de paquetes de red y tarjetas de red.
Esto, hace que los ataques de Rowhammer sean lanzados de una manera más fácil y cómoda, ya que el vector malicioso solo necesita bombardear la tarjeta de red de la víctima, con paquetes diseñados especialmente para estos ataque



Ahora los ataques son mucho mas simples de realizar, el atacante infectara a la victima con malware o dirigirá a la victima a un sitio web malicioso, donde se cargaría un código de Rowhammer oculto dentro del JavaScript del sitio.
Este nuevo método de ataque de Rowhammer, Throwhammer, fue detallado en el informe de investigación titulado “Throwhammer: Rowhammer Attacks over the Network and Defenses.”
Los ataques de Rowhammer funcionan filtrando direcciones de memoria y genera una fila de celdas de memoria para inducir volteos de 0/1 bit en las celdas de memoria cercanas, por lo tanto, modifica datos almacenados dentro de la RAM de una computadora.
Throwhammer es realmente posible ya que los datos enviados a una tarjeta de red se almacenan en caché dentro de la memoria RAM, lo que produce el mismo efecto.
De igual forma no todas las tarjetas son capaces de manejar una gran cantidad de tráfico entrante, lo que es necesario para poder provocar el ataque de Rowhammer.
Los investigadores comentaron que RDMA (Remote Direct Memory Access), es una tecnología que expone la memoria de una computadora a través de una red sin involucrar la CPU y el sistema operativo. Esto quiere decir que, puede procesar más paquetes que las tarjetas de red anteriores.



Las tarjetas de red habilitadas RDMA se ven con mucha frecuencia en grandes grupos de computadoras, particularmente en los centros de datos de computación en la nube.
El ancho de banda de red no es un problema para Throwhammer. “Las NIC modernas son capaces de transferir grandes cantidades de tráfico de red a la memoria remota. En la configuración experimental, se pudieron observar cambios de bits.
Cuando se accede a la memoria 560,000 veces en 64 ms, lo que significa 9 millones de accesos por segundo “
“También las tarjetas Ethernet normales de 10 Gbps pueden enviar fácilmente 9 millones de paquetes por segundo a un host remoto que termina almacenado en la memoria del host”, un atacante no necesita una conexión de red rápida para llevar a cabo el ataque, solo es necesaria una tarjeta de red habilitada para RDMA.
También se fue capaz de generar volteos de bits en un servidor Memcached remoto simplemente usando paquetes de red y sin necesidad de acciones del usuario.




Es el primer caso de un ataque de Rowhammer a través de la red. Este ataque Throwhammer no es algo que cualquier proveedor de la nube agregará como prioridad de su lista de amenazas.
Este ataque es muy teórico, son necesarias muchas condiciones especiales y mucho trabajo para crear paquetes de red Throwhammer que provoquen lanzamientos de bits muy precisos para ejecutar aún más comandos en servidores remotos en la nube o computadoras personales.
En comparación con los ataques anteriores de Rowhammer, Throwhammer es el más peligroso, debido a su modus operandi sin necesidad de interacción del usuario. Las investigaciones arrojaron descubrimientos como:
  • Los ataques de Rowhammer funcionan con las tarjetas de memoria DDR3 y DDR4
  • Los ataques de Rowhammer se pueden ejecutar a través de JavaScript mundano y no mediante malware especializado
  • Los ataques de Rowhammer pueden hacerse cargo de las máquinas virtuales basadas en Linux instaladas en los proveedores de alojamiento en la nube
  • Los ataques de Rowhammer son capaces de rootear dispositivos Android
  • Los ataques de Rowhammer se pueden lanzar con la ayuda de tarjetas GPU

Comentarios

Entradas más populares de este blog

¿Symantec venderá su negocio de certificados web?

¿Venderá Symantec su negocio de certificados web? Los únicos damnificados son los clientes.

¿Cuánto cuesta realmente un certificado SSL?