Een groep onderzoekers van de Graz University of Technology in Oostenrijk en het Helmholtz Center for Information Security (CISPA), hebben een nieuwe Foreshadow-aanvalsvector geïdentificeerd (L1TF), waarmee u gegevens kunt extraheren uit het geheugen van Intel SGX-enclaves, SMM's, geheugengebieden van de kernel van het besturingssysteem en virtuele machines in virtualisatiesystemen.
In tegenstelling tot de originele Foreshadow-aanval, De nieuwe variant is niet specifiek voor Intel-processors en beïnvloedt CPU's van andere fabrikanten zoals ARM, IBM en AMD. Bovendien vereist de nieuwe optie geen hoge prestaties en kan de aanval zelfs worden uitgevoerd door JavaScript en WebAssembly in een webbrowser uit te voeren.
Foreshadow maakt gebruik van het feit dat wanneer geheugen wordt benaderd op een virtueel adres, wat een uitzondering oproept (fout van terminalpagina), berekent de processor speculatief het fysieke adres en laadt de gegevens als deze zich in de L1-cache bevinden.
Speculatieve toegang wordt gedaan voordat de iteratie is voltooid van de geheugenpaginatabel en ongeacht de status van de geheugenpaginatabel (PTE) -ingang, dat wil zeggen voordat wordt gecontroleerd of de gegevens zich in het fysieke geheugen bevinden en leesbaar zijn.
Na voltooiing van de geheugenbeschikbaarheidscontrole, bij afwezigheid van de indicator aanwezig in de PTE, de bewerking wordt genegeerd, maar de gegevens worden in de cache opgeslagen en kunnen worden opgehaald methoden gebruiken om cache-inhoud te bepalen via zijkanalen (door veranderingen in toegangstijd tot cachegegevens en niet-cachegegevens te analyseren).
Onderzoekers hebben aangetoond dat bestaande beschermingsmethoden tegen Foreshadow zijn niet effectief en ze worden geïmplementeerd met een verkeerde interpretatie van het probleem.
The Foreshadow-kwetsbaarheid kan worden gebruikt ongeacht het gebruik van beschermingsmechanismen in de kernel die voorheen als voldoende werden beschouwd.
Als gevolg hiervan onderzoekers toonden de mogelijkheid aan om een Foreshadow-aanval uit te voeren op systemen met relatief oude kernels, waarin alle beschikbare Foreshadow-beschermingsmodi zijn ingeschakeld, evenals met nieuwere kernels, waarin alleen Spectre-v2-bescherming is uitgeschakeld (met behulp van de nospectre_v2 Linux-kerneloptie).
Het prefetch-effect is niet gerelateerd aan software prefetch-instructies of hardware prefetch-effect tijdens geheugentoegang, maar komt eerder voort uit speculatieve dereferentie van gebruikersruimteregisters in de kernel.
Deze verkeerde interpretatie van de oorzaak van de kwetsbaarheid leidde aanvankelijk tot de aanname dat datalekken in Foreshadow alleen kunnen plaatsvinden via de L1-cache, terwijl de aanwezigheid van bepaalde codefragmenten (prefetch-apparaten) in de kernel het kan bijdragen aan datalekken uit de L1-cache. cache, bijvoorbeeld in L3 Cache.
De onthulde functie biedt ook mogelijkheden om nieuwe aanvallen te maken. bedoeld om virtuele adressen te vertalen naar fysieke adressen in sandbox-omgevingen en om adressen en gegevens te bepalen die zijn opgeslagen in CPU-registers.
Als demo's, toonden de onderzoekers het vermogen om het geopenbaarde effect te gebruiken extraheer gegevens van het ene proces naar het andere met een verwerkingscapaciteit van ongeveer 10 bits per seconde op een systeem met een Intel Core i7-6500U CPU.
Ook wordt de mogelijkheid getoond om de inhoud van de records te filteren van de Intel SGX-enclave (het duurde 15 minuten om een 32-bits waarde te bepalen die naar een 64-bits register werd geschreven).
Om de aanval van Foreshadow te blokkeren via L3-cache, de Spectre-BTB-beschermingsmethode (Tak Doelbuffer) geïmplementeerd in de retpoline-patchset is effectief.
Daarom onderzoekers vinden het nodig om retpoline ingeschakeld te laten zelfs op systemen met nieuwere CPU's, die al bescherming bieden tegen bekende kwetsbaarheden in het speculatieve uitvoeringsmechanisme van CPU-instructies.
Van haar kant, Vertegenwoordigers van Intel zeiden dat ze niet van plan zijn om extra beschermingsmaatregelen toe te voegen tegen Foreshadow voor de processors en acht het voldoende om bescherming tegen Spectre V2 en L1TF (Foreshadow) aanvallen mogelijk te maken.
bron: https://arxiv.org