Skupina vědci z Graz University of Technology v Rakousku a Helmholtzovo centrum pro informační bezpečnost (CISPA), identifikovali nový útočný vektor Foreshadow (L1TF), který umožňuje extrahovat data z paměti enkláv Intel SGX, SMM, oblastí paměti jádra operačního systému a virtuálních strojů ve virtualizačních systémech.
Na rozdíl od původního útoku Foreshadow, Nová varianta není specifická pro procesory Intel a ovlivňuje ji CPU od jiných výrobců, jako např ARM, IBM a AMD. Nová možnost navíc nevyžaduje vysoký výkon a útok lze provést i spuštěním JavaScriptu a WebAssembly ve webovém prohlížeči.
Foreshadow využívá skutečnosti, že když se do paměti přistupuje na virtuální adrese, který vyvolá výjimku (selhání stránky terminálu), procesor spekulativně vypočítá fyzickou adresu a načte data, pokud jsou v mezipaměti L1.
Spekulativní přístup se provádí před dokončením iterace tabulka stránek paměti a bez ohledu na stav záznamu tabulky stránek paměti (PTE), tedy před ověřením, zda jsou data ve fyzické paměti a čitelná.
Po dokončení kontroly dostupnosti paměti, při absenci indikátoru přítomného v PTE, operace je zahozena, ale data jsou uložena do mezipaměti a lze je načíst pomocí metod k určení obsahu mezipaměti bočními kanály (analýzou změn v době přístupu k datům uloženým v mezipaměti a v mezipaměti).
Vědci to ukázali že stávající metody ochrany před předobrazem jsou neúčinné a jsou implementovány s nesprávnou interpretací problému.
Zranitelnost předzvěsti lze využít bez ohledu na použití ochranných mechanismů v jádře které byly dříve považovány za dostatečné.
Jako výsledek, Vědci prokázali možnost provést útok Foreshadow na systémy s relativně starými jádry, ve kterém jsou povoleny všechny dostupné režimy ochrany Foreshadow, stejně jako u novějších jader, ve kterých je deaktivována pouze ochrana Spectre-v2 (pomocí možnosti linuxového jádra nospectre_v2).
Bylo zjištěno, že efekt předběžného načítání nesouvisí s pokyny pro předběžné načítání softwaru nebo s efektem předběžného načítání hardwaru během přístupu do paměti, ale spíše vyplývá ze spekulativní dereference registrů uživatelského prostoru v jádře.
Tato nesprávná interpretace příčiny chyby zabezpečení původně vedla k předpokladu, že k úniku dat ve Foreshadow může dojít pouze prostřednictvím mezipaměti L1, zatímco přítomnost určitých úryvků kódu (zařízení pro předběžné načtení) v jádře může přispět k úniku dat z L1 cache, například v L3 Cache.
Odhalená funkce také otevírá příležitosti k vytváření nových útoků. zamýšlel překládat virtuální adresy na fyzické adresy v prostředích karantény a určovat adresy a data uložená v registrech CPU.
Jako ukázky, ukázali vědci schopnost použít odhalený efekt na extrahovat data z jednoho procesu do druhého s propustností přibližně 10 bitů za sekundu v systému s procesorem Intel Core i7-6500U.
Zobrazena je také možnost filtrování obsahu záznamů z enklávy Intel SGX (určení 15bitové hodnoty zapsané do 32bitového registru trvalo 64 minut).
Blokovat útok Foreshadow přes L3 cache, ochranná metoda Spectre-BTB (Buffer Target Buffer) implementovaný v sadě opravných balíčků retpoline je efektivní.
Proto, vědci se domnívají, že je nutné nechat retpoline povolený dokonce i na systémech s novějšími CPU, které již mají ochranu před známými zranitelnostmi ve spekulativním mechanismu provádění instrukcí CPU.
Pro jeho část, Zástupci společnosti Intel uvedli, že neplánují přidat další ochranná opatření proti Foreshadow procesorům a považují to za dostatečné, aby umožnily ochranu před útoky Spectre V2 a L1TF (Foreshadow).
zdroj: https://arxiv.org