Windows 11 Kaslr’ı atlamak ve çekirdek tabanını ortaya çıkarmak için kullanılan önbellek zamanlama teknikleri


Önbellek zamanlama yan kanal saldırıları, siber güvenlik meraklıları ve Windows çekirdek geliştiricileri için şaşırtıcı bir keşif olan tam güncellenmiş Windows 11 PC’lerde çekirdek adres alanı düzen randomizasyonunu (Kaslr) atlatmak için kullanılmıştır.

Kritik bir güvenlik mekanizması olan Kaslr, sömürü girişimlerini önlemek için çekirdek tabanının bellek konumunu rastgelelaştırır.

Bununla birlikte, yakın tarihli bir teknik blog yayınında ayrıntılı olarak açıklandığı gibi, bu koruma, başlangıçta istismar-forale olmak üzere önyargılı yan kanal yöntemi kullanılarak zayıflatılabilir.

– Reklamcılık –
Google Haberleri

Bu yaklaşım, ntoskrnl.exe’nin temel adresini çıkarmak için, özellikle Intel CPU’larda spekülatif yürütme ve işlemci önbellek davranışından yararlanmaktadır.

Erişim sürelerini 0xfffff80000000000 ila 0xfffff80800000000 aralığında potansiyel çekirdek adreslerine titizlikle ölçerek, saldırganlar, bu tür bilgiler için bir zamanlar gerekli olan SedeBugPrivilege gibi ayrıcalıklar olmadan bile tam konumu şaşırtıcı hassasiyetle tespit edebilirler.

Sofistike bir yan kanal saldırısının ortaya çıkması

Bu bypass’ın merkezinde, işlemcinin gecikmeyi en aza indirmek için talimatları önceden tahmin ettiği ve yürüttüğü modern CPU’larda bir performans optimizasyonu olan spekülatif yürütme kavramı yatmaktadır.

Bu, verimliliği artırırken, tahminler hassas verilere eriştiğinde, yan kanal saldırısına sahip bir kusur olan bir kusur olan CPU önbelleğinde yanlışlıkla izler bırakabilir.

Ön-Yan-Kanal Tekniği, bunu montaj talimatlarını kullanarak manipüle eder. prefetchnta Ve prefetcht2 Belirli bellek adreslerini önbellek hiyerarşisine (L1, L2 veya L3) yüklemeye işaret etmek için bu işlemleri zamanlama ile rdtscp eşitsizlikleri tespit etmek için.

Daha hızlı erişim süreleri boyunca çekirdek baz reveal gibi sık sistem erişiminin önbelleğinde bulunan adresler.

Yöntem, 32.768’den fazla potansiyel adresi yineliyor, gürültüyü filtrelemek için birden fazla çalışmada zamanlama sonuçlarının ortalaması var ve tutarlı bir şekilde düşük gecikme bölgelerini tespit ederek çekirdek tabanını tanımlıyor.

Çekirdek tabanı
Kodu test etmek

Araştırmacılara göre, bu, ortalama bir erişim hızı hesaplanarak ve hedef adresi izole etmek için kesirli eşikler uygulayarak önbellek mekaniğinin derin bir anlayışını göstererek daha da rafine edilir.

Önbellek sömürüsünün mekaniğini kodlamak

Özellikle, gibi talimatlar mfence Ve lfence Bellek işleminin serileştirilmesini sağlayın, zamanlama verilerini çarpıtabilecek optimizasyonları önleyerek, böylece saldırıyı hem güvenilir hem de teknik olarak karmaşık hale getirin.

Bu istismar, aktif saldırı bildirilmediği için gerçek dünya etkisinde teorik olsa da, donanım seviyesi optimizasyonlarında kalıcı bir kırılganlığın altını çizmektedir.

Windows 11 sürüm 10.0.26100.3775’te test edilen kod, yüksek ayrıcalıklar olmadan ntoskrnl.exe taban adresini başarıyla çıkardı, daha önce Microsoft’un 24H2 gibi son güncellemelerde kısıtladığı işlevlere bağımlı bir feat.

Bununla birlikte, muhtemelen ikinci seviye adres çevirisi (SLAT) tarafından getirilen önbellek tutarsızlıkları nedeniyle VMware gibi sanallaştırılmış ortamlarda tekniğin başarısız olduğunu belirtmek gerekir.

Bu gelişme, hem Intel hem de Microsoft’u gelecekteki mimarilerde ve güncellemelerde daha derin hafifletmeleri düşünmeye çağıran donanım tasarımı, yazılım güvenliği ve sömürü araştırmaları arasında devam eden kedi ve fare oyununun bir hatırlatıcısı olarak hizmet vermektedir.

Yan kanal saldırıları gelişmeye devam ettikçe, temel CPU özelliklerinden yararlanarak hain amaçlar için, siber güvenlik topluluğu uyanık kalmalı ve kritik sistem bileşenlerini bu tür ustaca bypass’lardan korumak için savunma mekanizmalarının sınırlarını zorlamalıdır.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link