Grupė mokslininkai iš Graco technologijos universiteto Austrijoje ir Helmholtzo informacijos saugumo centras (CISPA), nustatė naują „Foreshadow“ atakos vektorių (L1TF), leidžiančią išgauti duomenis iš „Intel SGX“ anklavų, SMM, operacinės sistemos branduolio atminties sričių ir virtualių mašinų, esančių virtualizacijos sistemose, atminties.
Skirtingai nuo pirminio „Foreshadow“ išpuolio, Naujas variantas nėra būdingas „Intel“ procesoriams ir turi įtakos CPU iš kitų gamintojų, tokių kaip ARM, IBM ir AMD. Be to, nauja parinktis nereikalauja didelio našumo, o ataką galima atlikti net vykdant „JavaScript“ ir „WebAssembly“ žiniatinklio naršyklėje.
„Foreshadow“ naudojasi tuo, kad kai prie atminties pasiekiama virtualiu adresu, kuris sukuria išimtį (terminalo puslapio gedimas), procesorius spekuliaciškai apskaičiuoja fizinį adresą ir įkelia duomenis, jei jie yra L1 talpykloje.
Spekuliacinė prieiga atliekama dar neužbaigus iteracijos neatsižvelgiant į atminties puslapio lentelės (PTE) įrašo būseną, ty prieš patikrinant, ar duomenys yra fizinėje atmintyje ir ar yra skaitomi.
Atlikę atminties prieinamumo patikrinimą, nesant rodiklio, esančio PTE, operacija atmetama, tačiau duomenys yra talpykloje ir juos galima gauti naudojant talpyklos turinio nustatymo šalutiniais kanalais metodus (analizuojant prieigos prie talpykloje ir ne talpykloje saugomų duomenų pokyčius).
Tyrėjai parodė kad esami apsaugos nuo „Foreshadow“ metodai yra neveiksmingi ir jie įgyvendinami neteisingai aiškinant problemą.
„Foreshadow“ pažeidžiamumas gali būti sverta nepriklausomai nuo apsaugos mechanizmų naudojimo branduolyje kurie anksčiau buvo laikomi pakankamais.
Kaip rezultatas, Tyrėjai parodė galimybę atlikti „Foreshadow“ ataką sistemoms, kuriose yra gana seni branduoliai, kuriame įgalinti visi galimi „Foreshadow“ apsaugos režimai, taip pat su naujesniais branduoliais, kuriuose išjungta tik „Spectre-v2“ apsauga (naudojant „Linux“ branduolio parinktį nospectre_v2).
Nustatyta, kad išankstinio pareikalavimo efektas nėra susijęs su programinės įrangos išankstinės gavimo instrukcijomis ar aparatinės įrangos išankstinio gavimo efektu prieigos prie atminties metu, bet kyla dėl spekuliacinio vartotojo erdvės registrų branduolys.
Šis klaidingas pažeidžiamumo priežasties aiškinimas iš pradžių leido daryti prielaidą, kad duomenų nutekėjimas „Foreshadow“ gali pasireikšti tik per L1 talpyklą, o tam tikrų kodo fragmentų (išankstinio įvedimo įrenginių) esama branduolyje. tai gali prisidėti prie duomenų nutekėjimo iš L1 talpyklos, pavyzdžiui, L3 talpykloje.
Atskleista funkcija taip pat atveria galimybes kurti naujas atakas. skirtas virtualiems adresams išversti į fizinius adresus smėlio dėžės aplinkoje ir nustatyti adresus bei duomenis, saugomus procesoriaus registruose.
Kaip demonstracinės versijos, parodė tyrėjai gebėjimas panaudoti atskleistą efektą išgauti duomenis iš vieno proceso į kitą, kai pralaidumas yra maždaug 10 bitų per sekundę sistemoje su „Intel Core i7-6500U“ procesoriumi.
Taip pat parodoma galimybė filtruoti įrašų turinį iš „Intel SGX“ anklavo (norint nustatyti 15 bitų vertę, įrašytą į 32 bitų registrą, prireikė 64 minučių).
Norėdami užkirsti kelią Foreshadow atakai per L3 talpyklą, „Spectre-BTB“ apsaugos metodas (Filialo tikslinis buferis) įdiegta retpolino pleistrų rinkinyje, yra veiksminga.
Todėl tyrėjų nuomone, būtina palikti įjungtą retpoliną net sistemose su naujesniais procesoriais, kurie jau turi apsaugą nuo žinomų spragų spekuliacinio procesoriaus instrukcijų vykdymo mechanizmo pažeidimų.
Savo ruožtu, „Intel“ atstovai teigė, kad papildomų apsaugos priemonių pridėti neplanuoja prieš „Foreshadow“ procesoriams ir mano, kad to pakanka apsaugai nuo „Spectre V2“ ir „L1TF“ („Foreshadow“) atakų.
Fuente: https://arxiv.org