Un gruppo di ricercatori della Graz University of Technology In Austria e l'Helmholtz Center for Information Security (CISPA), hanno identificato un nuovo vettore di attacco di Foreshadow (L1TF), che consente di estrarre dati dalla memoria di enclavi Intel SGX, SMM, aree di memoria del kernel del sistema operativo e macchine virtuali nei sistemi di virtualizzazione.
A differenza dell'attacco originale di Foreshadow, La nuova variante non è specifica per processori e affetti Intel CPU di altri produttori come ARM, IBM e AMD. Inoltre, la nuova opzione non richiede prestazioni elevate e l'attacco può essere effettuato anche eseguendo JavaScript e WebAssembly in un browser web.
Foreshadow sfrutta il fatto che quando si accede alla memoria a un indirizzo virtuale, che genera un'eccezione (errore della pagina terminale), il processore calcola speculativamente l'indirizzo fisico e carica i dati se si trovano nella cache L1.
L'accesso speculativo viene effettuato prima che l'iterazione sia completa della tabella delle pagine di memoria e indipendentemente dallo stato della voce PTE (memory page table), ovvero prima di verificare che i dati siano nella memoria fisica e siano leggibili.
Dopo aver completato il controllo della disponibilità della memoria, in assenza dell'indicatore Presente nella PTE, l'operazione viene eliminata, ma i dati vengono memorizzati nella cache e possono essere recuperati utilizzando metodi per determinare il contenuto della cache attraverso i canali laterali (analizzando le modifiche nel tempo di accesso ai dati memorizzati nella cache e non nella cache).
I ricercatori hanno dimostrato che i metodi di protezione esistenti contro Foreshadow sono inefficaci e vengono implementati con un'errata interpretazione del problema.
La vulnerabilità di Prefazione può essere sfruttato indipendentemente dall'uso dei meccanismi di protezione nel kernel precedentemente considerati sufficienti.
Di conseguenza, I ricercatori hanno dimostrato la possibilità di eseguire un attacco di Foreshadow su sistemi con kernel relativamente vecchi, in cui sono abilitate tutte le modalità di protezione di Foreshadow disponibili, così come con i kernel più recenti, in cui è disabilitata solo la protezione Spectre-v2 (utilizzando l'opzione del kernel Linux nospectre_v2).
L'effetto di prefetch è stato trovato non correlato alle istruzioni di prefetch del software o all'effetto di prefetch dell'hardware durante l'accesso alla memoria, ma piuttosto deriva dalla dereferenziazione speculativa dei registri dello spazio utente nel kernel.
Questa interpretazione errata della causa della vulnerabilità ha inizialmente portato a supporre che la perdita di dati in Foreshadow possa avvenire solo attraverso la cache L1, mentre la presenza di alcuni frammenti di codice (dispositivi di prefetch) nel kernel può contribuire alla fuga di dati dalla L1 cache, ad esempio in L3 Cache.
La funzionalità rivelata offre anche opportunità per creare nuovi attacchi. destinato a tradurre indirizzi virtuali in indirizzi fisici in ambienti sandbox e determinare indirizzi e dati memorizzati nei registri della CPU.
Come demo, i ricercatori hanno dimostrato la capacità di utilizzare l'effetto rivelato per estrarre i dati da un processo all'altro con una velocità effettiva di circa 10 bit al secondo su un sistema con una CPU Intel Core i7-6500U.
Viene inoltre mostrata la possibilità di filtrare il contenuto dei record Enclave Intel SGX (ci sono voluti 15 minuti per determinare un valore a 32 bit scritto su un registro a 64 bit).
Per bloccare l'attacco di Foreshadow tramite cache L3, il metodo di protezione Spectre-BTB (Buffer destinazione ramo) implementato nel set di patch retpoline è efficace.
Pertanto, i ricercatori ritengono che sia necessario lasciare abilitato retpoline anche su sistemi con CPU più recenti, che dispongono già di protezione contro vulnerabilità note nel meccanismo di esecuzione speculativa delle istruzioni CPU.
D'altro canto, I rappresentanti di Intel hanno affermato che non intendono aggiungere ulteriori misure di protezione contro Foreshadow ai processori e lo consideri sufficiente per abilitare la protezione contro gli attacchi Spectre V2 e L1TF (Foreshadow).
fonte: https://arxiv.org