オーストリアのグラーツ工科大学(TU Graz)の研究チームがLinuxのページキャッシュ攻撃を復活させ、従来考えられていたほど非現実的ではないことを示した。
ページキャッシュは、アプリケーションのバイナリ、ライブラリ、データファイルなど、ファイルに裏付けられたメモリページを保存するよう設計されている。最近アクセスされたディスクデータのコピーをシステムメモリに保持することで、オペレーティングシステムは後続の要求をより迅速に処理でき、全体的な性能を大幅に向上させる。
2019年、同オーストリアの大学と複数の組織の研究者は、WindowsおよびLinuxのページキャッシュがローカル攻撃とリモート攻撃の両方に悪用可能であることを示した。
専門家らは、標的システム上で動作する権限のないマルウェアを用いて、攻撃者が秘匿チャネルを作成し、フィッシング、キーロギング、パスワード再構成を通じて機微なユーザーデータを窃取できることを実証した。
木曜日に公開された新しい論文で、TU Grazの研究者は、Linux(2003年から現在までのカーネルバージョン)を標的とし、従来手法よりも大幅に高速な新しいページキャッシュ攻撃技術を詳述した。
たとえば、研究プロジェクトに関与した研究者の一人であるSudheendra Raghav Neelaによれば、「フラッシング」(すなわちキャッシュからページを削除する操作)は、従来研究の149ミリ秒に対してわずか0.8マイクロ秒で済むという。
「攻撃ループ全体をわずか0.6〜2.3マイクロ秒で達成している。従来のページキャッシュ攻撃より5〜6桁以上高速だ」と研究者はSecurityWeekに語った。
専門家らは、標的マシンにアクセスできる脅威アクターが実行可能な複数の理論的攻撃シナリオを実証した。
特定のバイナリに関連付けられたメモリページを監視することで、攻撃者はユーザーがパスワード入力を求められるタイミングを特定でき、被害者が機微な認証情報を入力しようとしているまさにその瞬間に、同期したフィッシング用オーバーレイやキーロガーを起動できる。
研究者らはまた、連続するキーストローク間の正確な時間間隔を測定することで、パスワードなどの機微情報を推測する「キー入力間タイミング攻撃」を実施できることも示した。
Docker環境では、コンテナにアクセスできる攻撃者が別のコンテナがアクセスしているファイルを把握でき、分離が破られて、表向きは安全な環境で動作するプロセスを脅威アクターが監視できるようになる。
別の攻撃シナリオではDiscordアプリケーションが対象となり、音声チャンネルへの参加や動画の再生といった特定のユーザー操作を攻撃者が特定できるようになった。
最後に、(これまで実証されていなかった唯一の攻撃として)Firefoxが使用する特定のライブラリやリソースファイルについてページキャッシュを監視し、標的ユーザーがアクセスしたウェブサイトを特定する攻撃が示された。
これらの知見は2025年1月にLinuxカーネルのセキュリティチームへ報告されたが、CVE-2025-21691として追跡される1件のみが緩和された。
攻撃面は依然として残っており、新しい論文で説明されたすべての手法は現行のカーネルバージョンに対しても引き続き有効だと研究者らは指摘した。
翻訳元: https://www.securityweek.com/old-attack-new-speed-researchers-optimize-page-cache-exploits/
