En gruppe av forskere fra Graz University of Technology i Østerrike og Helmholtz Center for Information Security (CISPA), har identifisert en ny Foreshadow-angrepsvektor (L1TF), som lar deg trekke ut data fra minnet til Intel SGX-enklaver, SMM, operativsystemkjerneminneområder og virtuelle maskiner i virtualiseringssystemer.
I motsetning til det opprinnelige Foreshadow-angrepet, Den nye varianten er ikke spesifikk for Intel-prosessorer og påvirker CPUer fra andre produsenter som ARM, IBM og AMD. Dessuten krever det nye alternativet ikke høy ytelse, og angrepet kan utføres selv ved å kjøre JavaScript og WebAssembly i en nettleser.
Foreshadow utnytter det faktum at når minne er tilgjengelig på en virtuell adresse, som genererer et unntak (terminalsidesvikt), beregner prosessoren den fysiske adressen spekulativt og laster inn dataene hvis den er i L1-hurtigbufferen.
Spekulativ tilgang gjøres før iterasjonen er fullført på minnesidetabellen og uansett status for minnesidetabelloppføringen (PTE), det vil si før du bekrefter at dataene er i fysisk minne og er lesbare.
Etter at du har fullført sjekken for minnetilgjengelighet, i fravær av indikatoren Til stede i PTE, operasjonen blir forkastet, men dataene er hurtigbufret og kan hentes ved hjelp av metoder for å bestemme hurtigbufferinnhold gjennom sidekanaler (ved å analysere endringer i tilgangstid til hurtigbufrede og ikke-bufrede data).
Forskere har vist que eksisterende metoder for beskyttelse mot Foreshadow er ineffektive og de er implementert med en feilaktig tolkning av problemet.
Foreshadow-sårbarheten kan utnyttes uavhengig av bruken av beskyttelsesmekanismer i kjernen som tidligere ble ansett som tilstrekkelig.
Som et resultat Forskerne demonstrerte muligheten for å utføre et Foreshadow-angrep på systemer med relativt gamle kjerner, der alle tilgjengelige Foreshadow-beskyttelsesmodus er aktivert, så vel som med nyere kjerner, der bare Spectre-v2-beskyttelse er deaktivert (ved å bruke Linux-kjernealternativet nospectre_v2).
Forhentningseffekten har vist seg å være urelatert til instruksjoner om forhånds henting av programvare eller forhånds hentingseffekt for maskinvare under minnetilgang, men oppstår snarere fra spekulativ dereferanse av brukerromregister i kjernen.
Denne feiltolkningen av årsaken til sårbarheten førte først til antagelsen om at datalekkasje i Foreshadow bare kan forekomme gjennom L1-hurtigbufferen, mens tilstedeværelsen av visse kodebiter (prefetch-enheter) i kjernen det kan bidra til datalekkasje ut av L1-hurtigbufferen, for eksempel i L3-hurtigbuffer.
Den avslørte funksjonen åpner også muligheter for å skape nye angrep. ment å oversette virtuelle adresser til fysiske adresser i sandkassemiljøer og bestemme adresser og data som er lagret i CPU-registre.
Som demoer, viste forskerne evnen til å bruke den avslørte effekten til trekke ut data fra en prosess til en annen med en gjennomstrømning på omtrent 10 bits per sekund på et system med en Intel Core i7-6500U CPU.
Muligheten for å filtrere innholdet i postene vises også fra Intel SGX-enklave (det tok 15 minutter å bestemme en 32-biters verdi skrevet til et 64-biters register).
For å blokkere Foreshadows angrep via L3-cache, beskyttelsesmetoden Spectre-BTB (Grenmålsbuffer) implementert i retpoline patch settet er effektivt.
Derfor, forskere mener det er nødvendig å la retpoline være aktivert til og med på systemer med nyere CPUer, som allerede har beskyttelse mot kjente sårbarheter i den spekulative kjøringsmekanismen i CPU-instruksjonene.
For sin del, Intel-representanter sa at de ikke planlegger å legge til ytterligere beskyttelsestiltak mot Foreshadow til prosessorene og anser det tilstrekkelig for å muliggjøre beskyttelse mot Spectre V2 og L1TF (Foreshadow) angrep.
Fuente: https://arxiv.org