Es va donar a conèixer informació sobre un nou atac al qual són vulnerables els processadors Intel i AMD, latac dexecució especulativa descobert recentment pot filtrar en secret contrasenyes i altres dades confidencials.
Sota el nom en codi Retbleed, l'atac té com a objectiu els retpolins, una de les defenses proposades el 2018 per mitigar Spectre, un subconjunt d'atacs de canal lateral de sincronització de microarquitectura que afecten els microprocessadors moderns.
Tots dos fabricants de xips estan lluitant una vegada més per contenir el que resulta ser una vulnerabilitat persistent i obstinada.
Retbleed és una vulnerabilitat descoberta recentment per investigadors de l'Institut Federal Suís de Tecnologia (ETH) de Zuric. Es va dir així perquè explota una defensa de programari coneguda com a retpoline.
Aquesta defensa es va introduir el 2018 per mitigar els efectes nocius dels atacs d?execució especulativa. Els atacs d'execució especulativa exploten el fet que quan els processadors moderns troben una branca d'instrucció directa o indirecta prediuen la direcció de la propera instrucció que rebran i l'executen automàticament abans que es confirmi la predicció.
Els atacs d'execució especulativa funcionen enganyant el processador perquè executi una instrucció que accedeix a dades confidencials a la memòria que normalment es negarien a una aplicació desafavorida. Les dades es recuperen després de cancel·lar l'operació.
Un retpoline funciona mitjançant una sèrie d'operacions de retorn per aïllar les branques indirectes dels atacs dexecució especulativa, erigint efectivament lequivalent de programari dun trampolí que els fa rebotar de manera segura. En altres paraules, un retpoline funciona reemplaçant salts i trucades indirectes amb devolucions.
Tot i les preocupacions, el risc del comportament de la predicció de retorn en piles de trucades profundes es va considerar baix i les retpolines es van convertir en la principal mesura de mitigació contra Spectre. Alguns investigadors han advertit durant anys que aquesta defensa no és suficient per mitigar els atacs d'execució especulativa, ja que creuen que els retorns utilitzats pel retpolí eren susceptibles a BTI. El creador de Linux, Linus Torvalds, va descartar tals advertiments, argumentant que tals exploits no eren pràctics.
Tot i això, els investigadors d'ETH Zurich han descobert que la mineria és, de fet, convenient. Els investigadors d'ETH Zurich han demostrat de manera concloent que la retpolina és insuficient per prevenir els atacs d'execució especulativa. La seva prova de concepte Retbleed funciona contra processadors Intel amb microarquitectures Kaby Lake i Coffee Lake i microarquitectures AMD Zen 1, Zen 1+ i Zen 2.
“Els nostres resultats mostren que totes les instruccions de devolució que segueixen piles de trucades prou profundes es poden desviar utilitzant un historial de bifurcació precís a les CPU d'Intel. Pel que fa als processadors AMD, trobem que qualsevol instrucció de retorn pot ser segrestada, independentment de la pila de trucades anterior, sempre que el destí de la branca anterior s'esculli correctament durant el segrest”, assenyalen els acadèmics de L. ETH Zurich Johannes Wikner i Kaveh Razavi al seu treball de recerca.
Bàsicament, el malware en una màquina pot explotar Retbleed per obtenir memòria a la qual no hauria de tenir accés, com ara dades del nucli del sistema operatiu, contrasenyes, claus i altres secrets. Segons els acadèmics, Spectre Variant 2 va aprofitar les branques indirectes per aconseguir una execució especulativa arbitrària al nucli. Les branques indirectes es van convertir en devolucions utilitzant retpoline per mitigar la Variant 2 de Spectre. Retbleed mostra que, malauradament, les declaracions de tornada es filtren en algunes condicions similars a les branques indirectes.
Això vol dir que, lamentablement, la retpoline va ser una atenuació inadequada per començar. Segons els investigadors, Retbleed pot filtrar memòria dels nuclis de CPU dIntel a una velocitat di aproximadament 219 bytes per segon i amb un 98% de precisió.
L'exploit pot extreure la memòria central de les CPU de AMD amb una amplada de banda de 3,9 KB per segon. Els investigadors van dir que va ser capaç de localitzar i filtrar el hash de la contrasenya arrel dun ordinador Linux de la memòria física en aproximadament 28 minuts amb processadors Intel i aproximadament 6 minuts amb processadors Intel AMD.
L'article de recerca i la publicació del bloc dels investigadors expliquen les condicions microarquitectòniques necessàries per operar Retbleed. A Intel, els retorns comencen a comportar-se com a salts indirectes quan es desborda el memòria intermèdia de la pila de retorn, que conté les prediccions de l'objectiu de retorn.
«Això significa que es pot explotar qualsevol comentari que puguem obtenir a través d'una trucada al sistema, i n'hi ha molts», van escriure els investigadors. "També descobrim que les CPU d'AMD exhibeixen salts fantasma (CVE-2022-23825): prediccions de bifurcació que ocorren fins i tot en absència de qualsevol instrucció de bifurcació corresponent", van afegir.
Cal assenyalar que els sistemes Windows no es veuen afectats, ja que aquests sistemes utilitzen per defecte l'especulació restringida de branca indirecta (IBRS), que també és la mitigació disponible per als usuaris de Linux.
font: https://comsec.ethz.ch