Diferentemente das vulnerabilidades anteriores de canal lateral divulgadas nas CPUs Intel, os pesquisadores descobriram uma nova falha que pode ser explorada remotamente pela rede sem exigir que um invasor tenha acesso físico ou qualquer malware instalado em um computador de destino.
Apelidada de NetCAT, abreviação de Network Cache Attack, a nova vulnerabilidade de canal lateral baseada em rede pode permitir que um invasor remoto obtenha dados confidenciais, como a senha SSH de alguém, do cache da CPU da Intel.
Descoberta por uma equipe de pesquisadores de segurança da Universidade Vrije, em Amsterdã, a vulnerabilidade, rastreada como CVE-2019-11184, reside em um recurso de otimização de desempenho chamado DDIO da Intel – abreviação de Data-Direct I / O – que, por design, concede dispositivos de rede e outros periféricos acessam o cache da CPU.
O DDIO vem ativado por padrão em todos os processadores de servidor Intel desde 2012, incluindo as famílias Intel Xeon E5, E7 e SP.
De acordo com os pesquisadores, o ataque do NetCAT funciona de maneira semelhante ao Throwhammer, enviando apenas pacotes de rede especialmente criados para um computador de destino com o recurso Acesso Direto à Memória Remoto (RDMA) ativado.
O RDMA permite que os atacantes espionem periféricos remotos do lado do servidor, como placas de rede, e observem a diferença de tempo entre um pacote de rede servido no cache do processador remoto e um pacote servido na memória.
Aqui, a idéia é realizar uma análise de tempo de pressionamento de tecla para recuperar as palavras digitadas por uma vítima usando um algoritmo de aprendizado de máquina em relação às informações de tempo.
“Em uma sessão SSH interativa, toda vez que você pressiona uma tecla, os pacotes de rede estão sendo transmitidos diretamente. Como resultado, toda vez que uma vítima digita um caractere em uma sessão SSH criptografada no console, o NetCAT pode vazar o tempo do evento. vazando a hora de chegada do pacote de rede correspondente “, explica a equipe VUSec.
“Agora, os humanos têm padrões de digitação distintos. Por exemplo, digitar ‘logo após’ a ‘é mais rápido do que digitar’ g ‘depois de’ ‘. Como resultado, o NetCAT pode operar uma análise estática dos tempos de chegada de pacotes no que é conhecido como ataque de tempo de pressionamento de tecla para vazar o que você digita em sua sessão SSH privada “.
“Em comparação com um invasor local nativo, o ataque do NetCAT na rede reduz apenas a precisão das teclas descobertas em média em 11,7%, ao descobrir a chegada de pacotes SSH com uma taxa positiva verdadeira de 85%”.
A equipe do VUSec também publicou um vídeo, como mostrado acima, demonstrando um método para espionar sessões SSH em tempo real com nada além de um servidor compartilhado.
O NetCAT se torna a nova vulnerabilidade de canal lateral que se juntou à lista de outras vulnerabilidades perigosas de canal lateral descobertas no ano passado, incluindo Meltdown e Spectre, TLBleed, Foreshadow, SWAPGS e PortSmash.
Em seu comunicado, a Intel reconheceu o problema e recomendou aos usuários que desativassem completamente o DDIO ou pelo menos o RDMA para dificultar esses ataques, ou sugeriram limitar o acesso direto aos servidores de redes não confiáveis.
A empresa atribuiu à vulnerabilidade NetCAT uma classificação de gravidade “baixa”, descrevendo-a como um problema de divulgação parcial de informações e concedeu uma recompensa à equipe VUSec pela divulgação responsável.
E Você, recebeu algum tipo de ataque semelhante? Deixe seu comentário abaixo para sabermos a sua opinião. E Não deixe de visitar: https://www.deltaservers.com.br/ para conhecer todas as novidades que preparamos para você!
