Специалисты разработали новую атаку, позволяющую перехватывать нажатия клавиш во время сеанса SSH.
Ученые из Амстердамского свободного университета разработали новую атаку на центральные процессоры Intel серверного класса. Использующаяся для атаки уязвимость получила название NetCAT. Она затрагивает все ЦП Intel с поддержкой Data-Direct I/O Technology (Intel DDIO) и Remote Direct Memory Access (RDMA). По словам исследователей, когда обе эти функции включены, можно осуществить атаку на удаленный компьютер в сети и получить доступ к определенным типам данных, обрабатываемых в кэше процессора.
Атака базируется на анализе незначительных изменений во времени, затраченном процессором на обработку данных. Проанализировав эти изменения, исследователи смогли определить, какие данные обрабатывал процессор.
Подобный класс атак называется «атаки по сторонним каналам», и для их осуществления у злоумышленника либо должен быть физический доступ к атакуемому компьютеру, либо он заранее установил на него вредоносное ПО. Тем не менее, как показали специалисты Амстердамского свободного университета, осуществить атаку по сторонним каналам также можно с помощью Intel DDIO и RDMA. Путем отправки особым образом сконфигурированных сетевых пакетов процессору с включенной функцией Intel DDIO злоумышленник может видеть, какие данные в нем обрабатываются.
Благодаря NetCAT из удаленного ЦП можно похищать любые данные, но только если они представлены в виде сетевых пакетов и оказываются непосредственно в общем кэше Intel DDIO. Таким образом исследователям удалось перехватить нажатия клавиш на клавиатуре во время сеанса SSH на атакуемом компьютере.
Исследователи уведомили Intel о проблеме еще в июне нынешнего года, однако производитель так и не исправил ее. Во вторник, 10 сентября, компания опубликовала инструкцию по защите от возможной эксплуатации уязвимости. В частности, Intel рекомендовала отключить на уязвимых компьютерах функции Intel DDIO и RDMA или ограничить к ним доступ извне.
Intel DDIO – функция в ЦП серверного класса (включена по умолчанию в семействах процессоров Intel Xeon E5, E7, и SP), позволяющая разгружать сетевую карту от данных, получаемых или отправляемых путем записи их в кэш ЦП, где может храниться и обрабатываться больше информации со скоростью, превосходящей скорость ОЗУ.
Компания Positive Technologies проводит исследование о том, сколько времени тратят ИБ-специалисты на работу в SIEM-системах и предлагает анонимно ответить на несколько вопросов https://surveys.hotjar.com/s?siteId=1095096&surveyId=140403 .
Гравитация научных фактов сильнее, чем вы думаете