报告编号: B6-2018-063001

报告来源: 360-CERT

报告作者: 360-CERT

更新日期: 2018-06-30

0x00 事件概述

360-CERT近日监测到国际学术研究团队表示,自2012年以来发布的几乎所有Android设备都容易受到名为RAMpage的新漏洞的攻击,漏洞编号CVE-2018-9442,是Rowhammer漏洞的一个变种,并表示随着分析的深入可能会影响到个人电脑、云平台、苹果公司的产品。

360-CERT团队经过评估,认为漏洞风险等级重要,建议用户参照相关缓解措施进行防御。

0x01 漏洞描述

Rowhammer是新一代DRAM芯片的硬件可靠性问题。几年前,研究人员发现,攻击者快速和重复的读写同一内存地址时,读写操作会产生一个电场来改相邻内存地址的数据。

Drammer Rowhammer漏洞和较新的RAMpage Rowhammer漏洞之间的区别在于,RAMpage专门利用Rowhammer针对Android内存子系统ION进行的攻击。

RAMpage漏洞(CVE-2018-9442)可以在设备上运行的非特权Android应用程序,利用之前公开的Drammer攻击,获得目标设备的root权限。通过用Rowhammer攻击ION,攻击者利用RAMpage可以打破用户空间和系统空间之间的隔离,从而使攻击者获得目标设备的root权限,及其数据。如浏览器中的密码,个人照片,电子邮件,即时消息甚至关键业务文档。

Google2016年缓解措施:2016年,在Drammer攻击的细节公开后,谷歌推出了Android设备的补丁,该设备禁用了负责连续内存分配的ION组件之一(kmalloc堆),以试图降低“Rowhammer漏洞”利用的风险。 在禁用连续堆之后,现在Android设备上运行的应用程序和系统进程依赖于ION内存管理器中剩余的其他内核堆,例如系统堆,这些堆用于在随机物理位置上分配内存。 除了非连续内存分配外,系统堆还通过分别将内核内存和用户内存分配给lowmem和highmem区域来分离内核内存和用户内存,以进一步提高安全性。

具体攻击步骤:

  1. 耗尽系统堆 --攻击者故意耗尽所有ION的内部池,则会采用另一个内存分配算法来负责分配内存。由于另一个内存分配算法的主要目的是最小化内存碎片,它最终提供连续的页面分配(从而绕过2016年的缓解措施一)。

为了增加利用的可能性, 攻击者可以进一步绕过系统堆使用的区域分离机制。为了强制将其内存页面放置到内核页面驻留的lowmem分配中,攻击者不断分配内存,直到没有剩余内存为止。一旦出现这种情况,内核就会提供来自lowmem的后续请求(绕过2016年的缓解措施二)。

  1. 缩小缓存池 -- 使用Flip Feng Shui利用向量 ,攻击者可以诱导内核将页表存储在容易受到攻击的页面中。

将系统堆池的物理内存释放回内核,这间接迫使ION子系统分配预先释放的内存页面。让系统使用次页面来存储页表。

  1. 对设备进行root--执行上述两个步骤,使操作系统的页表页面与攻击者可控制的页面非常相邻,然后攻击者利用Rowhammer来进行后序的攻击来完成对设备的root。

另外三种攻击方法:

  • ION-to-ION (Varint r1)
  • CMA-to-CMA attack (Varint r2)
  • CMA-to-system attack (Varint r3)

    0x02 影响范围

    报告表示自2012年至今所有基于Android的设备都可能受到该漏洞的影响。研究人员团队认为RAMpage也可能影响苹果设备,家用电脑甚至云服务器。

    0x03 修复建议

    目前用户需要等待相关产品官方推送补丁,建议普通用户仅从信任源安装应用程序。
  1. 研究团队发布修复方案:https://github.com/vusec/guardion
  2. 安卓平台检测工具:https://vvdveen.com/drammer.apk
  3. 漏洞研究团队提供了名为Guardion的修复方案:

Guardion代码需要安装为Android操作系统的补丁,它修改ION内存管理器的方式是通过注入空行隔离这些敏感缓冲区,一个在左边,一个在右边,使它成为距攻击者行多于一行。

0x04 时间线

2018-06-29 相关学术机构发布RamPage攻击方式

2018-06-30 360-CERT发布RamPage攻击预警

0x05 参考链接

  1. https://www.bleepingcomputer.com/news/security/every-android-device-since-2012-impacted-by-rampage-vulnerability/

  2. https://vvdveen.com/publications/dimva2018.pdf

  3. https://thehackernews.com/2018/06/android-rowhammer-rampage-hack.html

  4. https://rampageattack.com/

声明:本文来自360CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。