Eine Gruppe von Forscher der Technischen Universität Graz in Österreich und das Helmholtz-Zentrum für Informationssicherheit (CISPA), haben einen neuen Foreshadow-Angriffsvektor identifiziert (L1TF), mit dem Sie Daten aus dem Speicher von Intel SGX-Enklaven, SMMs, Kernelspeicherbereichen des Betriebssystems und virtuellen Maschinen in Virtualisierungssystemen extrahieren können.
Im Gegensatz zum ursprünglichen Foreshadow-Angriff Die neue Variante ist nicht spezifisch für Intel-Prozessoren und betrifft CPUs anderer Hersteller wie z ARM, IBM und AMD. Darüber hinaus erfordert die neue Option keine hohe Leistung und der Angriff kann auch durch Ausführen von JavaScript und WebAssembly in einem Webbrowser ausgeführt werden.
Foreshadow nutzt die Tatsache, dass beim Zugriff auf den Speicher an einer virtuellen AdresseDer Prozessor berechnet spekulativ die physikalische Adresse und lädt die Daten, wenn sie sich im L1-Cache befinden.
Der spekulative Zugriff erfolgt vor Abschluss der Iteration der Speicherseitentabelle und unabhängig vom Status des Speicherseitentabelleneintrags (PTE), dh bevor überprüft wird, ob sich die Daten im physischen Speicher befinden und lesbar sind.
Nach Abschluss der Speicherverfügbarkeitsprüfungin Abwesenheit des in der PTE vorhandenen Indikators Der Vorgang wird verworfen, aber die Daten werden zwischengespeichert und können abgerufen werden Verwenden von Methoden zum Bestimmen des Cache-Inhalts über Seitenkanäle (durch Analysieren von Änderungen der Zugriffszeit auf zwischengespeicherte und nicht zwischengespeicherte Daten).
Forscher haben gezeigt dass Bestehende Methoden zum Schutz vor Vorboten sind unwirksam und sie werden mit einer falschen Interpretation des Problems implementiert.
Die Foreshadow-Sicherheitsanfälligkeit kann unabhängig von der Verwendung von Schutzmechanismen im Kernel genutzt werden das wurden bisher als ausreichend angesehen.
Als Ergebnis Die Forscher zeigten die Möglichkeit, einen Foreshadow-Angriff auf Systeme mit relativ alten Kerneln durchzuführen, in dem alle verfügbaren Foreshadow-Schutzmodi aktiviert sind, sowie in neueren Kerneln, in denen nur der Spectre-v2-Schutz deaktiviert ist (mithilfe der Linux-Kerneloption nospectre_v2).
Es wurde festgestellt, dass der Prefetch-Effekt nicht mit Software-Prefetch-Anweisungen oder Hardware-Prefetch-Effekt während des Speicherzugriffs zusammenhängt, sondern vielmehr aus der spekulativen Dereferenzierung von Benutzerbereichsregistern in der Kernel.
Diese Fehlinterpretation der Ursache der Sicherheitsanfälligkeit führte zunächst zu der Annahme, dass Datenlecks in Foreshadow nur über den L1-Cache auftreten können, während bestimmte Codefragmente (Prefetch-Geräte) im Kernel vorhanden sind Es kann zum Datenverlust aus dem L1-Cache beitragen, beispielsweise im L3-Cache.
Die aufgedeckte Funktion eröffnet auch Möglichkeiten, neue Angriffe zu erstellen. soll virtuelle Adressen in physische Adressen in Sandbox-Umgebungen übersetzen und Adressen und Daten ermitteln, die in CPU-Registern gespeichert sind.
Als Demoszeigten die Forscher die Fähigkeit, den offenbarten Effekt zu nutzen Extrahieren Sie Daten von einem Prozess zu einem anderen mit einem Durchsatz von ungefähr 10 Bit pro Sekunde auf einem System mit einer Intel Core i7-6500U-CPU.
Die Möglichkeit, den Inhalt der Datensätze zu filtern, wird ebenfalls angezeigt aus der Intel SGX-Enklave (es dauerte 15 Minuten, um einen 32-Bit-Wert zu ermitteln, der in ein 64-Bit-Register geschrieben wurde).
Um den Angriff von Foreshadow zu blockieren über L3-Cache, die Spectre-BTB-Schutzmethode (Verzweigungszielpuffer) Die Implementierung des Retpoline-Patch-Sets ist effektiv.
Deshalb Forscher glauben, dass es notwendig ist, Retpoline aktiviert zu lassen auch auf Systemen mit neueren CPUs, die bereits vor bekannten Schwachstellen im spekulativen Ausführungsmechanismus von CPU-Anweisungen geschützt sind.
Für seinen Teil, Vertreter von Intel sagten, sie planen nicht, zusätzliche Schutzmaßnahmen hinzuzufügen gegen Foreshadow an die Prozessoren und halten es für ausreichend, um den Schutz vor Spectre V2- und L1TF-Angriffen (Foreshadow) zu ermöglichen.
Quelle: https://arxiv.org