Foram divulgadas informações sobre um novo ataque ao qual os processadores Intel e AMD são vulneráveis, o ataque de execução especulativa recentemente descoberto pode vazar secretamente senhas e outros dados confidenciais.
sob o nome de código "Retbleed", o ataque tem como alvo os retpolines, uma das defesas propostas em 2018 para mitigar o Spectre, um subconjunto de ataques de canal lateral de sincronização de microarquitetura que afetam microprocessadores modernos.
Ambos os fabricantes de chips estão mais uma vez lutando para conter o que acaba sendo uma vulnerabilidade persistente e teimosa.
Retbleed é uma vulnerabilidade recentemente descoberto por pesquisadores do Instituto Federal Suíço de Tecnologia (ETH) de Zurique. Ele recebeu esse nome porque explora uma defesa de software conhecida como retpoline.
Essa defesa foi introduzida em 2018 para mitigar os efeitos nocivos de ataques de execução especulativa. Os ataques de execução especulativa exploram o fato de que, quando os processadores modernos encontram uma ramificação de instrução direta ou indireta, eles predizem o endereço da próxima instrução que receberão e a executam automaticamente antes que a previsão seja confirmada.
Ataques de execução especulativa funcionam enganando o processador executar uma instrução que acessa dados confidenciais na memória que normalmente seriam negados a uma aplicação desfavorável. Os dados são então recuperados após o cancelamento da operação.
Uma retpoline funciona usando uma série de operações de retorno para isolar os ramos indiretos de ataques de execução especulativa, efetivamente erguendo o software equivalente a um trampolim que os repele com segurança. Em outras palavras, uma retpoline funciona substituindo saltos e chamadas indiretas por retornos.
Apesar das preocupações, risco de comportamento de previsão o retorno das pilhas de chamadas profundas foi considerado baixo e retpolins se tornaram a principal medida de mitigação contra Spectre. Alguns pesquisadores alertam há anos que essa defesa não é suficiente para mitigar ataques de execução especulativa, pois acreditam que os retornos utilizados pela retpoline eram suscetíveis ao BTI. O criador do Linux, Linus Torvalds, descartou esses avisos, argumentando que tais explorações eram impraticáveis.
No entanto, pesquisadores da ETH Zurich descobriram que a mineração é, de fato, conveniente. Pesquisadores da ETH Zurich mostraram conclusivamente que o retpoline é insuficiente para evitar ataques de execução especulativa. Sua prova de conceito Retbleed funciona contra processadores Intel com microarquiteturas Kaby Lake e Coffee Lake e microarquiteturas AMD Zen 1, Zen 1+ e Zen 2.
“Nossos resultados mostram que todas as instruções de retorno que seguem pilhas de chamadas profundas o suficiente podem ser ignoradas usando o histórico de ramificações preciso nas CPUs Intel. Com relação aos processadores AMD, descobrimos que qualquer instrução de retorno pode ser sequestrada, independentemente da pilha de chamadas anterior, desde que o destino da ramificação anterior seja escolhido corretamente durante o sequestro”, observam os estudiosos da L. ETH Zurich Johannes Wikner e Kaveh Razavi em seu trabalho de pesquisa.
Basicamente malware em uma máquina pode explorar o Retbleed para ganhar memória aos quais ele não deve ter acesso, como dados do kernel do sistema operacional, senhas, chaves e outros segredos. De acordo com os estudiosos, o Spectre Variant 2 aproveitou as ramificações indiretas para obter uma execução especulativa arbitrária no kernel. As ramificações indiretas foram convertidas em postbacks usando retpoline para mitigar a Spectre Variant 2. Retbleed mostra que instruções de retorno infelizmente vazam sob algumas condições semelhantes a ramificações indiretas.
Isso significa que, infelizmente, o retpoline era uma atenuação inadequada para começar. Segundo os pesquisadores, Retbleed pode vazar memória de núcleos de CPU Intel a uma velocidade dee aproximadamente 219 bytes por segundo e com 98% de precisão.
O exploit pode extrair a memória central das CPUs de AMD com largura de banda de 3,9 KB por segundo. Os pesquisadores disseram que foi capaz de localizar e vazar o hash de senha de root de um computador Linux da memória física em cerca de 28 minutos com processadores Intel e cerca de 6 minutos com processadores Intel AMD.
O artigo de pesquisa dos pesquisadores e a postagem no blog explicam as condições microarquitetônicas necessárias para operar o Retbleed. Na Intel, os retornos começam a se comportar como saltos indiretos quando o buffer da pilha de retorno, que contém as previsões do destino de retorno, transborda.
“Isso significa que qualquer feedback que possamos obter por meio de uma chamada de sistema pode ser explorado, e há muitos deles”, escreveram os pesquisadores. “Também descobrimos que as CPUs AMD exibem saltos fantasmas (CVE-2022-23825) – previsões de ramificação que ocorrem mesmo na ausência de qualquer instrução de ramificação correspondente”, acrescentaram.
Deve-se notar que os sistemas Windows não são afetados, pois esses sistemas padronizam a Indirect Branch Restricted Speculation (IBRS), que também é a mitigação disponível para usuários do Linux.
fonte: https://comsec.ethz.ch