Abo
  • Services:
Anzeige
Eine Sicherheitslücke in RAM-Modulen lässt sich praktisch ausnutzen, um Root-Rechte zu erlangen.
Eine Sicherheitslücke in RAM-Modulen lässt sich praktisch ausnutzen, um Root-Rechte zu erlangen. (Bild: smial / Wikimedia Commons / Free Art License)

Root-Rechte mittels Page Tables

Anzeige

Ein weiterer möglicher Angriff betrifft die Rechteverwaltung von Linux. Mit einigen Tricks gelingt es, als Nutzer Root-Rechte zu erlangen. Dafür versucht Seaborn, mit Hilfe von Bitflips die Kontrolle über einen Page Table des eigenen Prozesses zu erlangen. In den Page Tables ist die Zuordnung des physikalischen Speichers zum virtuellen Speicher eines Prozesses geregelt. Gelingt dem Angreifer die Kontrolle über einen Page Table, kann er nach Belieben den Speicher des Systems manipulieren.

Seaborn nutzt für seinen Angriff ein Suid-Programm. Suid-Programme sind vom Nutzer ausführbare Programme, die mit Root-Rechten laufen. Auf vielen Systemen ist das Ping-Tool ein Suid-Programm. Durch die Kontrolle des Arbeitsspeichers kann der Angreifer den Code des entsprechenden Programms überschreiben und somit die Kontrolle über das System erlangen.

Der konkrete Angriff wurde unter Linux umgesetzt. Seaborn betont aber, dass er davon ausgehe, dass sich der Angriff ähnlich auch auf anderen Betriebssystemen umsetzen ließe.

Betriebssystem kann Cache-Flush nicht verhindern

Einen ähnlichen Ausweg wie bei der NaCl-Sandbox gibt es für Betriebssysteme nicht: Es ist nicht vorgesehen, dass die Ausführung des Clflush-Befehls einem Nutzer verboten wird. Seaborn findet es überraschend, dass Clflush von Nutzern generell ausgeführt werden kann, denn eigentlich gibt es außerhalb des Kernel-Codes kaum Gründe, diesen Befehl aufzurufen. Er leert den gesamten Memory-Write-Cache und sorgt dafür, dass ein Schreibzugriff auf den Arbeitsspeicher vollendet wird. Auch in virtualisierten Systemen lässt sich der Aufruf von Clflush nicht verhindern.

Der GrSecurity-Patch für Linux verhindert den Zugriff auf die Pagemaps von Nutzerprozessen. Das dürfte zumindest die hier beschriebene Angriffsstrategie verhindern und führt auch dazu, dass ein zur Verfügung gestelltes Test-Tool nicht funktioniert. Eine wirkliche Sicherheitsgarantie ist das allerdings nicht.

Lösung ohne Hardwareaustausch kaum möglich

Seaborn diskutiert mehrere Möglichkeiten, wie sich das Rowhammer-Problem verhindern ließe. Der Hardwarebranche ist das Problem seit längerem bekannt. Der kürzlich veröffentlichte LPDDR4-Standard für DRAM-Speicher schlägt bereits Methoden vor, wie man das Problem im Controller des Arbeitsspeichers verhindern kann. Bei einem DRAM-Hersteller fand Seaborn im Datenblatt Hinweise auf Methoden, die Rowhammer-Probleme verhindern sollen.

Obwohl das Problem in der Vergangenheit schon öfters diskutiert wurde, ist es bislang praktisch nicht als Sicherheitsproblem wahrgenommen worden. Außer dem eingangs erwähnten Papier von der Carnegie Mellon University und von Intel erwähnt keine bisherige Veröffentlichung mögliche Angriffe. Derartige Bitflips wurden lediglich als Risiko für die Zuverlässigkeit von PCs wahrgenommen.

Bei einem Laptop fand Seaborn heraus, dass durch ein Bios-Update das Problem deutlich verzögert auftrat. Während ein Angriff mit dem alten Bios innerhalb von wenigen Minuten funktionierte, dauerte er nach dem Update 40 Minuten. Seaborn vermutete, dass das neue Bios die Refresh-Zyklen des Arbeitsspeichers erhöht hatte und somit den Angriff erschwerte. Eine wirkliche Lösung ist eine Verzögerung des Angriffs natürlich nicht.

Von 29 getesteten handelsüblichen Laptops waren 15 für das Rowhammer-Problem anfällig. Seaborn erwähnt allerdings, dass seine Tests keine Garantie liefern könnten, dass die Geräte nicht betroffen seien. Die Ergebnisse hat er nur anonymisiert veröffentlicht.

ECC-Speicher hilft vielleicht

Bei Tests auf verschiedenen Desktop-PCs mit ECC-Speicher ließ sich das Problem nicht reproduzieren. Die ECC-Funktion von DRAM-Chips garantiert die Korrektheit der Daten im Arbeitsspeicher anhand von Prüfbits. ECC-Speicher kommt vor allem in teureren PCs zum Einsatz. Wenn sich herausstellt, dass ECC-Speicher generell nicht betroffen ist, könnte das die Lösung für das Rowhammer-Problem sein. Eine einfache Methode, um zu prüfen, ob ECC wirklich aktiviert ist, gibt es allerdings nicht.

Ein Test-Tool wurde auf Github veröffentlicht. Das Tool führt keinen vollständigen Angriff durch. Es versucht lediglich, eine Speicherstelle zu manipulieren und testet, ob ein Bit gekippt wurde. Den Rowhammer-Test sollte man jedoch nur mit Bedacht einsetzen: Zufällige Veränderungen im Arbeitsspeicher könnten zu Abstürzen, undefiniertem Verhalten oder in ungünstigen Fällen auch zu korrupten Daten auf der Festplatte führen.

Spannend dürfte werden, wie die Hardwareindustrie mit dem Problem umgeht. Bislang scheint es keine zuverlässige Möglichkeit zu geben, das Problem durch Bios-Updates oder durch Änderungen am Betriebssystem zu beheben. Eigentlich müssten sämtliche betroffenen Arbeitsspeicherchips ersetzt werden.

 Rowhammer: RAM-Chips geben Angreifern Root-Rechte

eye home zur Startseite
TheBigLou13 13. Apr 2015

Was, wenn man jedem Programm im Ram einen Puffer nach links und rechts von einem Byte...

HubertHans 13. Mär 2015

Nebenbei bemerkt: Es gibt kaum Speicherrriegel die Timings erlauben die niedriger...

HubertHans 12. Mär 2015

Wenn du ECC RAM mit DDR3 1600 CL9 kaufst bist du schon vorne mit dabei. Die meisten DDR3...

EvilSheep 11. Mär 2015

Lies den Artikel und dir wird ein Licht auf gehen. Ja es wird getestet, ja es war schon...

EvilSheep 11. Mär 2015

Mir ist sehr wohl bewusst, dass das Grundproblem beim DRAM liegt, aber steht eben der...



Anzeige

Stellenmarkt
  1. Bundesamt für Verfassungsschutz, Köln
  2. Landeshauptstadt München, München
  3. Die Deutsche Immobilien Gruppe, Düren
  4. Robert Bosch GmbH, Leonberg


Anzeige
Top-Angebote
  1. (u. a. Monster Hunter 4 Ultimate 3DS 14,99€)
  2. 139,99€/149,99€ (Preisgarantie)
  3. 799€ (Vergleichspreis ca. 1.090€)

Folgen Sie uns
       


  1. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  2. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  3. Raspberry Pi

    Raspbian auf Stretch upgedated

  4. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  5. Nvidia

    Keine Volta-basierten Geforces in 2017

  6. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  7. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  8. id Software

    Quake Champions startet in den Early Access

  9. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  10. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: Linux?

    486dx4-160 | 00:11

  2. Re: Ich bin für die zwangsweise Verlegung der...

    Oktavian | 00:07

  3. Re: Austauschbarkeit bei Ultrabooks geht also doch!

    486dx4-160 | 00:07

  4. Re: Die Präposition "in" vor einer Jahreszahl ist...

    NativesAlter | 19.08. 23:26

  5. Re: Die IDEE!!!!

    tingelchen | 19.08. 23:21


  1. 14:38

  2. 12:42

  3. 11:59

  4. 11:21

  5. 17:56

  6. 16:20

  7. 15:30

  8. 15:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel