Un grup de investigadors de la Universitat de Virgínia i Califòrnia han presentat un nou tipus d'atac a les estructures de microarquitectura dels processadors Intel i AMD.
El mètode d'atac proposat està associat amb l'ús d'un caixet intermedi de microoperacions (micro-op cache) als processadors, que es pot utilitzar per extreure informació que s'ha establert en el curs de l'execució especulativa d'instruccions.
S'observa que el nou mètode supera significativament l'atac Spectre v1 en termes de rendiment, dificulta la detecció de l'atac i no està bloquejat pels mètodes de protecció contra atacs existents a través de canals laterals dissenyats per bloquejar vulnerabilitats causades per l'execució especulativa d'instruccions.
Per exemple, l'ús de la instrucció LFENCE bloqueja la fugida a les últimes etapes de l'execució especulativa, però no protegeix contra la fugida a través d'estructures de microarquitectura.
El mètode afecta els models de processadors Intel i AMD llançats des del 2011, incloses les sèries Intel Skylake i AMD Zen. Les CPU modernes divideixen les complexes instruccions del processador en microoperacions més simples similars a RISC, que s'emmagatzemen en memòria cau en una memòria cau separada.
aquesta memòria cau és fonamentalment diferent de les caixets de nivell superior, no és directament accessible i actua com un memòria intermèdia de flux per accedir ràpidament als resultats de la descodificació d'instruccions CISC en una microinstrucció RISC.
No obstant això, els investigadors han trobat una manera de crear les condicions que sorgeixen durant un conflicte d'accés a la memòria cau i permetre jutjar el contingut del caixet de les microoperacions analitzant les diferències en el temps dexecució de determinades accions.
La memòria cau micro-op als processadors Intel està segmentada en relació amb els subprocessos de la CPU (Hyper-Threading), mentre que els processadors AMD Zen utilitzen una memòria cau compartida, que crea condicions per a la fuga de dades no només dins d'un subprocés d'execució, sinó també entre diferents subprocessos a SMT (la fuita de dades és possible entre el codi executat en diferents nuclis lògics de la CPU).
Els investigadors van proposar un mètode bàsic per detectar canvis en la memòria cau de micro-ops i diversos escenaris d'atac que permeten crear canals de transmissió de dades encobertes i utilitzar codi vulnerable per filtrar dades confidencials, tant dins d'un sol procés (per exemple, per organitzar un procés de dades fugides en executar codi de tercers en motors amb JIT i en màquines virtuals) i entre el nucli i els processos a l'espai d'usuari.
En organitzar una variant de l'atac Spectre usant la memòria cau micro-op, els investigadors van aconseguir aconseguir un rendiment de 965.59 Kbps amb una taxa d'error de 0.22% i 785.56 Kbps en usar correcció d'errors, en cas d'una fuita dins del mateix espai de direccions. i nivell de privilegi.
Amb una fuita que abasta diferents nivells de privilegis (entre el nucli i l'espai d'usuari), el rendiment va ser de 85,2 Kbps amb correcció d'errors afegida i 110,96 Kbps amb una taxa d'error del 4%.
En atacar processadors AMD Zen, cosa que crea una fuita entre diferents nuclis lògics de la CPU, el rendiment va ser de 250 Kbps amb una taxa d'error del 5,59% i de 168,58 Kbps amb correcció d'errors. En comparació del mètode clàssic Spectre v1, el nou atac va resultar ser 2,6 vegades més ràpid.
Es preveu que mitigar un atac de memòria cau de microoperacions requeriria més canvis que degraden el rendiment que quan es van habilitar les defenses de Spectre.
Com a compromís òptim, es proposa bloquejar aquests atacs no deshabilitant l'emmagatzematge en memòria cau, sinó a nivell de monitorització d'anomalies i determinant estats de memòria cau típics dels atacs.
Igual que en els atacs de Spectre, l'organització d'una fuga del nucli o d'altres processos requereix l'execució d'una seqüència d'ordres determinada (gadgets) al costat dels processos de la víctima, fet que porta a l'execució especulativa d'instruccions.
S'han trobat al voltant de 100 dispositius d'aquest tipus al nucli de Linux, que s'eliminaran, però periòdicament hi ha solucions per generar-los, per exemple, els associats amb el llançament de programes BPF especialment dissenyats al nucli.
Finalment si estàs interessat en conèixer més a l'respecte, Pots consultar els detalls en el següent enllaç.