Излезе информация за а нова атака, на която са уязвими процесорите на Intel и AMD, наскоро откритата спекулативна атака за изпълнение може тайно да изтече пароли и други чувствителни данни.
под кодовото име „Retbleed“, атаката е насочена към retpolines, една от защитите, предложена през 2018 г. за смекчаване на Spectre, подмножество от атаки на странични канали за микроархитектурна синхронизация, които засягат съвременните микропроцесори.
И двамата производители на чипове отново се борят да овладеят това, което се оказва постоянна и упорита уязвимост.
Retbleed е уязвимост наскоро открити от изследователи от Швейцарския федерален технологичен институт (ETH) от Цюрих. Той получи името си, защото използва софтуерна защита, известна като retpoline.
Тази защита беше въведена през 2018 г., за да смекчи вредните ефекти от спекулативни атаки за изпълнение. Спекулативните атаки за изпълнение експлоатират факта, че когато съвременните процесори се сблъскат с директен или индиректен клон на инструкция, те предвиждат адреса на следващата инструкция, която ще получат, и автоматично я изпълняват, преди прогнозата да бъде потвърдена.
Спекулативните атаки за изпълнение работят чрез измама на процесора за изпълнение на инструкция, която осъществява достъп до чувствителни данни в паметта, които обикновено биха били отказани на неблагоприятно приложение. След това данните се възстановяват след отмяна на операцията.
retpoline работи, като използва серия от операции за връщане за изолиране косвените клонове на спекулативни атаки за изпълнение, ефективно издигайки софтуерния еквивалент на трамплин, който ги отхвърля безопасно. С други думи, retpoline работи, като заменя скокове и индиректни повиквания с връщания.
Въпреки притесненията, риск от прогнозно поведение възвръщаемостта на дълбоките стекове за извикване се счита за ниска и retpolines стана основната смекчаваща мярка срещу Spectre. Някои изследователи предупреждават от години, че тази защита не е достатъчна, за да смекчи спекулативните атаки за изпълнение, тъй като смятат, че възвръщаемостта, използвана от retpoline, е податлива на BTI. Създателят на Linux Линус Торвалдс отхвърли подобни предупреждения с аргумента, че подобни експлойти са непрактични.
Изследователи от ETH Zurich обаче установиха, че майнингът всъщност е удобен. Изследователи от ETH Цюрих убедително показаха, че retpoline е недостатъчен за предотвратяване на спекулативни атаки за изпълнение. Тяхното доказателство за концепция Retbleed работи срещу процесори на Intel с микроархитектури Kaby Lake и Coffee Lake и микроархитектури AMD Zen 1, Zen 1+ и Zen 2.
„Резултатите ни показват, че всички инструкции за връщане, които следват достатъчно дълбоки стекове за извикване, могат да бъдат заобиколени с помощта на точна история на разклоненията на процесорите на Intel. По отношение на процесорите на AMD откриваме, че всяка инструкция за връщане може да бъде отвлечена, независимо от предишния стек на извикване, стига местоназначението на предишния клон да е избрано правилно по време на отвличането“, отбелязват учени от L. ETH Цюрих Йоханес Викнер и Kaveh Razavi в тяхната изследователска работа.
общо взето, зловреден софтуер на машина може да използва Retbleed, за да спечели памет до които не трябва да има достъп, като например данни на ядрото на операционната система, пароли, ключове и други тайни. Според учените, Spectre Variant 2 се е възползвал от непреки клонове, за да постигне произволно спекулативно изпълнение в ядрото. Непреките клонове бяха преобразувани в обратни постове, използвайки retpoline за смекчаване на Spectre Variant 2. Retbleed показва, че операторите за връщане за съжаление изтичат при някои условия, подобни на косвените разклонения.
Това означава, че за съжаление retpoline е било неадекватно затихване в началото. Според изследователите, Retbleed може да изтече памет от процесорните ядра на Intel със скорост оти приблизително 219 байта в секунда и с 98% точност.
Експлойтът може да извлече основната памет на процесорите на AMD с честотна лента от 3,9 KB в секунда. Изследователите казаха, че е успял да локализира и изтече хеш на root паролата на Linux компютър от физическата памет за около 28 минути с процесори Intel и около 6 минути с процесори Intel AMD.
Изследователската статия и публикацията в блога на изследователите обясняват микроархитектурните условия, необходими за работата на Retbleed. При Intel връщанията започват да се държат като косвени скокове, когато буферът на стека за връщане, който съдържа прогнозите на целта за връщане, препълни.
„Това означава, че всяка обратна връзка, която можем да получим чрез системно повикване, може да бъде използвана и има много такива“, пишат изследователите. „Също така открихме, че процесорите на AMD показват призрачни скокове (CVE-2022-23825) – предвиждания за разклонения, които се случват дори при липса на съответна инструкция за разклоняване“, добавиха те.
Трябва да се отбележи, че системите на Windows не са засегнати, тъй като тези системи по подразбиране използват индиректно ограничено спекулиране на клонове (IBRS), което също е смекчаването, достъпно за потребителите на Linux.
Fuente: https://comsec.ethz.ch