Abo
  • Services:
Anzeige
Eine Sicherheitslücke in RAM-Modulen lässt sich praktisch ausnutzen, um Root-Rechte zu erlangen.
Eine Sicherheitslücke in RAM-Modulen lässt sich praktisch ausnutzen, um Root-Rechte zu erlangen. (Bild: smial / Wikimedia Commons / Free Art License)

Root-Rechte mittels Page Tables

Anzeige

Ein weiterer möglicher Angriff betrifft die Rechteverwaltung von Linux. Mit einigen Tricks gelingt es, als Nutzer Root-Rechte zu erlangen. Dafür versucht Seaborn, mit Hilfe von Bitflips die Kontrolle über einen Page Table des eigenen Prozesses zu erlangen. In den Page Tables ist die Zuordnung des physikalischen Speichers zum virtuellen Speicher eines Prozesses geregelt. Gelingt dem Angreifer die Kontrolle über einen Page Table, kann er nach Belieben den Speicher des Systems manipulieren.

Seaborn nutzt für seinen Angriff ein Suid-Programm. Suid-Programme sind vom Nutzer ausführbare Programme, die mit Root-Rechten laufen. Auf vielen Systemen ist das Ping-Tool ein Suid-Programm. Durch die Kontrolle des Arbeitsspeichers kann der Angreifer den Code des entsprechenden Programms überschreiben und somit die Kontrolle über das System erlangen.

Der konkrete Angriff wurde unter Linux umgesetzt. Seaborn betont aber, dass er davon ausgehe, dass sich der Angriff ähnlich auch auf anderen Betriebssystemen umsetzen ließe.

Betriebssystem kann Cache-Flush nicht verhindern

Einen ähnlichen Ausweg wie bei der NaCl-Sandbox gibt es für Betriebssysteme nicht: Es ist nicht vorgesehen, dass die Ausführung des Clflush-Befehls einem Nutzer verboten wird. Seaborn findet es überraschend, dass Clflush von Nutzern generell ausgeführt werden kann, denn eigentlich gibt es außerhalb des Kernel-Codes kaum Gründe, diesen Befehl aufzurufen. Er leert den gesamten Memory-Write-Cache und sorgt dafür, dass ein Schreibzugriff auf den Arbeitsspeicher vollendet wird. Auch in virtualisierten Systemen lässt sich der Aufruf von Clflush nicht verhindern.

Der GrSecurity-Patch für Linux verhindert den Zugriff auf die Pagemaps von Nutzerprozessen. Das dürfte zumindest die hier beschriebene Angriffsstrategie verhindern und führt auch dazu, dass ein zur Verfügung gestelltes Test-Tool nicht funktioniert. Eine wirkliche Sicherheitsgarantie ist das allerdings nicht.

Lösung ohne Hardwareaustausch kaum möglich

Seaborn diskutiert mehrere Möglichkeiten, wie sich das Rowhammer-Problem verhindern ließe. Der Hardwarebranche ist das Problem seit längerem bekannt. Der kürzlich veröffentlichte LPDDR4-Standard für DRAM-Speicher schlägt bereits Methoden vor, wie man das Problem im Controller des Arbeitsspeichers verhindern kann. Bei einem DRAM-Hersteller fand Seaborn im Datenblatt Hinweise auf Methoden, die Rowhammer-Probleme verhindern sollen.

Obwohl das Problem in der Vergangenheit schon öfters diskutiert wurde, ist es bislang praktisch nicht als Sicherheitsproblem wahrgenommen worden. Außer dem eingangs erwähnten Papier von der Carnegie Mellon University und von Intel erwähnt keine bisherige Veröffentlichung mögliche Angriffe. Derartige Bitflips wurden lediglich als Risiko für die Zuverlässigkeit von PCs wahrgenommen.

Bei einem Laptop fand Seaborn heraus, dass durch ein Bios-Update das Problem deutlich verzögert auftrat. Während ein Angriff mit dem alten Bios innerhalb von wenigen Minuten funktionierte, dauerte er nach dem Update 40 Minuten. Seaborn vermutete, dass das neue Bios die Refresh-Zyklen des Arbeitsspeichers erhöht hatte und somit den Angriff erschwerte. Eine wirkliche Lösung ist eine Verzögerung des Angriffs natürlich nicht.

Von 29 getesteten handelsüblichen Laptops waren 15 für das Rowhammer-Problem anfällig. Seaborn erwähnt allerdings, dass seine Tests keine Garantie liefern könnten, dass die Geräte nicht betroffen seien. Die Ergebnisse hat er nur anonymisiert veröffentlicht.

ECC-Speicher hilft vielleicht

Bei Tests auf verschiedenen Desktop-PCs mit ECC-Speicher ließ sich das Problem nicht reproduzieren. Die ECC-Funktion von DRAM-Chips garantiert die Korrektheit der Daten im Arbeitsspeicher anhand von Prüfbits. ECC-Speicher kommt vor allem in teureren PCs zum Einsatz. Wenn sich herausstellt, dass ECC-Speicher generell nicht betroffen ist, könnte das die Lösung für das Rowhammer-Problem sein. Eine einfache Methode, um zu prüfen, ob ECC wirklich aktiviert ist, gibt es allerdings nicht.

Ein Test-Tool wurde auf Github veröffentlicht. Das Tool führt keinen vollständigen Angriff durch. Es versucht lediglich, eine Speicherstelle zu manipulieren und testet, ob ein Bit gekippt wurde. Den Rowhammer-Test sollte man jedoch nur mit Bedacht einsetzen: Zufällige Veränderungen im Arbeitsspeicher könnten zu Abstürzen, undefiniertem Verhalten oder in ungünstigen Fällen auch zu korrupten Daten auf der Festplatte führen.

Spannend dürfte werden, wie die Hardwareindustrie mit dem Problem umgeht. Bislang scheint es keine zuverlässige Möglichkeit zu geben, das Problem durch Bios-Updates oder durch Änderungen am Betriebssystem zu beheben. Eigentlich müssten sämtliche betroffenen Arbeitsspeicherchips ersetzt werden.

 Rowhammer: RAM-Chips geben Angreifern Root-Rechte

eye home zur Startseite
TheBigLou13 13. Apr 2015

Was, wenn man jedem Programm im Ram einen Puffer nach links und rechts von einem Byte...

HubertHans 13. Mär 2015

Nebenbei bemerkt: Es gibt kaum Speicherrriegel die Timings erlauben die niedriger...

HubertHans 12. Mär 2015

Wenn du ECC RAM mit DDR3 1600 CL9 kaufst bist du schon vorne mit dabei. Die meisten DDR3...

EvilSheep 11. Mär 2015

Lies den Artikel und dir wird ein Licht auf gehen. Ja es wird getestet, ja es war schon...

EvilSheep 11. Mär 2015

Mir ist sehr wohl bewusst, dass das Grundproblem beim DRAM liegt, aber steht eben der...



Anzeige

Stellenmarkt
  1. Bundesversicherungsamt Referat 811, Bonn
  2. Landesbetrieb IT.Niedersachsen, Hannover
  3. Robert Bosch GmbH, Leonberg
  4. Robert Bosch GmbH, Stuttgart


Anzeige
Top-Angebote
  1. (u. a. London Has Fallen, The Imitation Game, Lone Survivor, Olympus Has Fallen)
  2. (u. a. Der Hobbit 3, Der Polarexpress, Ice Age, Pan, Life of Pi)
  3. (u. a. 96 Hours Taken 3 6,97€, London Has Fallen 9,97€, Homefront 7,49€, Riddick 7,49€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Red Star OS

    Sicherheitslücke in Nordkoreas Staats-Linux

  2. Elektroauto

    Porsche will 20.000 Elektrosportwagen pro Jahr verkaufen

  3. TV-Kabelnetz

    Tele Columbus will Marken abschaffen

  4. Barrierefreiheit

    Microsofts KI hilft Blinden in Office

  5. AdvanceTV

    Tele Columbus führt neue Set-Top-Box für 4K vor

  6. Oculus Touch im Test

    Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung

  7. 3D Xpoint

    Intels Optane-SSDs erscheinen nicht mehr 2016

  8. Webprogrammierung

    PHP 7.1 erweitert Nullen und das Nichts

  9. VSS Unity

    Virgin Galactic testet neues Raketenflugzeug

  10. Google, Apple und Mailaccounts

    Zwei-Faktor-Authentifizierung richtig nutzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. Re: BATTLETECH

    Moe479 | 17:19

  2. Re: PHP ist keine Programmiersprache

    NeoTiger | 17:19

  3. Re: Das Problem bei der NSA-Affäre ist, dass...

    SkalliN | 17:17

  4. und was ist mit

    Moe479 | 17:14

  5. Nicht zu schwer für Sport?

    Nogul | 17:12


  1. 17:25

  2. 17:06

  3. 16:53

  4. 16:15

  5. 16:02

  6. 16:00

  7. 15:00

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel