의 그룹 Graz University of Technology 연구원 오스트리아 정보 보안을위한 헬름홀츠 센터 (CISPA), 새로운 Foreshadow 공격 벡터를 식별했습니다. (L1TF), Intel SGX 엔 클레이브, SMM, 운영 체제 커널의 메모리 영역 및 가상화 시스템의 가상 머신의 메모리에서 데이터를 추출 할 수 있습니다.
원래 Foreshadow 공격과 달리 새로운 변형은 Intel 프로세서에만 국한되지 않으며 다음과 같은 다른 제조업체의 CPU ARM, IBM 및 AMD. 또한 새로운 옵션은 고성능을 요구하지 않으며 웹 브라우저에서 JavaScript와 WebAssembly를 실행하여도 공격을 수행 할 수 있습니다.
Foreshadow는 가상 주소에서 메모리에 액세스 할 때, 예외 (터미널 페이지 실패)를 생성하는 프로세서는 추측 적으로 물리적 주소를 계산하고 L1 캐시에있는 경우 데이터를로드합니다.
반복이 완료되기 전에 추측 액세스가 수행됩니다. 즉, 데이터가 실제 메모리에 있고 읽을 수 있는지 확인하기 전에 메모리 페이지 테이블 (PTE) 항목의 상태에 관계없이 메모리 페이지 테이블의
메모리 가용성 확인 완료 후, PTE에 표시기가없는 경우 작업은 삭제되지만 데이터는 캐시되어 검색 할 수 있습니다. 캐시 된 데이터와 캐시되지 않은 데이터에 대한 액세스 시간의 변화를 분석하여 사이드 채널을 통해 캐시 콘텐츠를 결정하는 방법을 사용합니다.
연구원들은 해적 Foreshadow에 대한 기존 보호 방법은 효과적이지 않습니다. 문제에 대한 잘못된 해석으로 구현됩니다.
Foreshadow 취약점 커널의 보호 메커니즘 사용에 관계없이 활용할 수 있습니다. 이전에는 충분하다고 간주되었습니다.
그 결과, 연구원들은 비교적 오래된 커널을 사용하는 시스템에서 Foreshadow 공격을 수행 할 가능성을 입증했습니다., 사용 가능한 모든 Foreshadow 보호 모드와 Spectre-v2 보호 만 비활성화 된 최신 커널 (Linux 커널 옵션 nospectre_v2 사용)이 활성화됩니다.
프리 페치 효과는 메모리 액세스 중 소프트웨어 프리 페치 명령 또는 하드웨어 프리 페치 효과와 관련이없는 것으로 밝혀졌지만 커널에서 사용자 공간 레지스터의 추론 적 역 참조로 인해 발생합니다.
취약성의 원인에 대한 이러한 오해는 처음에 Foreshadow의 데이터 유출은 L1 캐시를 통해서만 발생할 수있는 반면 커널에 특정 코드 스 니펫 (프리 페치 장치)이 있으면 L1 외부로의 데이터 유출에 기여할 수 있다는 가정으로 이어졌습니다. 예를 들어 L3 캐시에서.
공개 된 기능은 또한 새로운 공격을 만들 수있는 기회를 열어줍니다. 가상 주소를 샌드 박스 환경에서 물리적 주소로 변환하고 CPU 레지스터에 저장된 주소와 데이터를 결정하기위한 것입니다.
데모로, 연구원들은 드러난 효과를 사용하는 능력 초당 약 10 비트의 처리량으로 한 프로세스에서 다른 프로세스로 데이터 추출 Intel Core i7-6500U CPU가있는 시스템에서.
레코드 내용 필터링 가능성도 표시됩니다. Intel SGX 엔 클레이브 (15 비트 레지스터에 기록 된 32 비트 값을 결정하는 데 64 분이 걸렸습니다).
Foreshadow의 공격을 차단하려면 L3 캐시를 통해 Spectre-BTB 보호 방법 (지점 대상 버퍼) 레트 폴린 패치 세트에 구현 된 것이 효과적입니다.
따라서, 연구원들은 레트 폴린을 활성화 된 상태로 두어야한다고 생각합니다. 최신 CPU가있는 시스템에서도 CPU 명령의 예측 실행 메커니즘에서 알려진 취약점에 대한 보호 기능이 이미 있습니다.
그 부분은, 인텔 담당자는 추가 보호 조치를 추가 할 계획이 없다고 말했습니다. Foreshadow를 프로세서에 대항하고 Spectre V2 및 L1TF (Foreshadow) 공격에 대한 보호를 활성화하기에 충분하다고 생각합니다.
출처 : https://arxiv.org