Grupa pētnieki no Grācas Tehniskās universitātes Austrijā un Helmholca informācijas drošības centrs (CISPA), ir identificējuši jaunu Foreshadow uzbrukuma vektoru (L1TF), kas ļauj iegūt datus no Intel SGX anklāvu, SMM atmiņas, operētājsistēmas kodola atmiņas apgabaliem un virtualizācijas sistēmās esošajām virtuālajām mašīnām.
Atšķirībā no sākotnējā Foreshadow uzbrukuma, Jaunais variants nav specifisks Intel procesoriem un ietekmē CPU no citiem ražotājiem, piemēram, ARM, IBM un AMD. Tāpat jaunajai opcijai nav nepieciešama augsta veiktspēja, un uzbrukumu var veikt, pat tīmekļa pārlūkprogrammā palaižot JavaScript un WebAssembly.
Foreshadow izmanto to, ka, piekļūstot atmiņai, izmantojot virtuālo adresi, kas rada izņēmumu (termināļa lapas kļūme), procesors spekulatīvi aprēķina fizisko adresi un ielādē datus, ja tie atrodas L1 kešatmiņā.
Spekulatīvā piekļuve tiek veikta pirms iterācijas pabeigšanas atmiņas lapu tabulu un neatkarīgi no atmiņas lapu tabulas (PTE) ieraksta statusa, tas ir, pirms pārliecināties, vai dati atrodas fiziskajā atmiņā un ir lasāmi.
Pēc atmiņas pieejamības pārbaudes pabeigšanas, ja nav PTE esošā rādītāja, darbība tiek izmesta, bet dati tiek saglabāti kešatmiņā un tos var izgūt izmantojot kešatmiņas satura noteikšanas metodes, izmantojot sānu kanālus (analizējot kešatmiņā saglabāto un kešatmiņā saglabāto datu piekļuves laika izmaiņas).
Pētnieki ir parādījuši ka esošās aizsardzības metodes pret Foreshadow ir neefektīvas un tie tiek īstenoti, nepareizi interpretējot problēmu.
Foreshadow ievainojamība var izmantot, neatkarīgi no aizsardzības mehānismu izmantošanas kodolā kas iepriekš tika uzskatīti par pietiekamiem.
Kā rezultātā, pētnieki parādīja iespēju veikt Foreshadow uzbrukumu sistēmām ar salīdzinoši veciem kodoliem, kurā ir iespējoti visi pieejamie Foreshadow aizsardzības režīmi, kā arī ar jaunākiem kodoliem, kuros ir atspējota tikai Spectre-v2 aizsardzība (izmantojot Linux kodola opciju nospectre_v2).
Ir konstatēts, ka prefetch efekts nav saistīts ar programmatūras prefetch instrukcijām vai aparatūras prefetch efektu atmiņas piekļuves laikā, bet drīzāk rodas no spekulatīvas lietotāju kosmosa reģistru novirzes kodolā.
Šī ievainojamības cēloņa nepareiza interpretācija sākotnēji radīja pieņēmumu, ka datu noplūde Foreshadow var notikt tikai caur L1 kešatmiņu, savukārt dažu koda fragmentu (prefetch ierīču) klātbūtne kodolā var veicināt datu noplūdi no L1 kešatmiņa, piemēram, L3 kešatmiņā.
Atklātā funkcija paver iespējas arī jaunu uzbrukumu veidošanai. paredzēts virtuālo adrešu tulkošanai uz fiziskām adresēm smilškastes vidēs un CPU reģistros saglabāto adrešu un datu noteikšanai.
Kā demonstrācijas, pētnieki parādīja spēja izmantot atklāto efektu iegūt datus no viena procesa citā ar caurlaidspēju aptuveni 10 biti sekundē sistēmā ar Intel Core i7-6500U procesoru.
Parādīta arī iespēja filtrēt ierakstu saturu Intel SGX anklāvs (lai noteiktu 15 bitu vērtību, kas ierakstīta 32 bitu reģistrā, bija nepieciešamas 64 minūtes).
Lai bloķētu Foreshadow uzbrukumu izmantojot L3 kešatmiņu, Spectre-BTB aizsardzības metodi (Filiāles mērķa buferis) retpolīna plāksteru komplekts ir efektīvs.
Tāpēc, pētnieki uzskata, ka ir nepieciešams atstāt iespējotu retpolīnu pat sistēmās ar jaunākiem procesoriem, kuriem jau ir aizsardzība pret zināmām ievainojamībām CPU instrukciju spekulatīvajā izpildes mehānismā.
No savas puses, Intel pārstāvji paziņoja, ka neplāno pievienot papildu aizsardzības pasākumus pret Foreshadow procesoriem un uzskatiet to par pietiekamu, lai nodrošinātu aizsardzību pret Spectre V2 un L1TF (Foreshadow) uzbrukumiem.
Fuente: https://arxiv.org