Um grupo de pesquisadores da Graz University of Technology na Austria e o Helmholtz Center for Information Security (CISPA), identificaram um novo vetor de ataque do Foreshadow (L1TF), que permite extrair dados da memória de enclaves Intel SGX, SMMs, áreas de memória do kernel do sistema operacional e máquinas virtuais em sistemas de virtualização.
Ao contrário do ataque Foreshadow original, A nova variante não é específica para processadores Intel e afeta CPUs de outros fabricantes, como ARM, IBM e AMD. Além disso, a nova opção não requer alto desempenho e o ataque pode ser realizado até mesmo executando JavaScript e WebAssembly em um navegador da web.
O Foreshadow aproveita o fato de que quando a memória é acessada em um endereço virtual, o que gera uma exceção (falha de página do terminal), o processador calcula especulativamente o endereço físico e carrega os dados se estiverem no cache L1.
O acesso especulativo é feito antes que a iteração seja concluída da tabela de páginas de memória e independentemente do status da entrada da tabela de páginas de memória (PTE), ou seja, antes de verificar se os dados estão na memória física e são legíveis.
Depois de completar a verificação de disponibilidade de memória, na ausência do indicador Presente no PTE, a operação é descartada, mas os dados são armazenados em cache e podem ser recuperados usando métodos para determinar o conteúdo do cache por meio de canais laterais (analisando as mudanças no tempo de acesso aos dados armazenados e não armazenados em cache).
Pesquisadores mostraram que os métodos existentes de proteção contra o Foreshadow são ineficazes e eles são implementados com uma interpretação incorreta do problema.
A vulnerabilidade do Foreshadow pode ser aproveitado independentemente do uso de mecanismos de proteção no kernel que antes eram considerados suficientes.
Como resultado, os pesquisadores demonstraram a possibilidade de realizar um ataque do Foreshadow em sistemas com kernels relativamente antigos, em que todos os modos de proteção Foreshadow disponíveis estão habilitados, bem como com kernels mais novos, nos quais apenas a proteção Specter-v2 está desabilitada (usando a opção de kernel Linux nospectre_v2).
Descobriu-se que o efeito de pré-busca não está relacionado às instruções de pré-busca de software ou ao efeito de pré-busca de hardware durante o acesso à memória. o kernel.
Essa má interpretação da causa da vulnerabilidade levou inicialmente à suposição de que o vazamento de dados no Foreshadow só pode ocorrer através do cache L1, enquanto a presença de certos trechos de código (dispositivos de pré-busca) no kernel pode contribuir para o vazamento de dados do cache L1, por exemplo, no cache L3.
O recurso revelado também abre oportunidades para criar novos ataques. destina-se a traduzir endereços virtuais em endereços físicos em ambientes de sandbox e determinar endereços e dados armazenados em registros de CPU.
Como demos, os pesquisadores mostraram a capacidade de usar o efeito revelado para extrair dados de um processo para outro com uma taxa de transferência de aproximadamente 10 bits por segundo em um sistema com CPU Intel Core i7-6500U.
Também é mostrada a possibilidade de filtrar o conteúdo dos registros do enclave Intel SGX (levou 15 minutos para determinar um valor de 32 bits gravado em um registro de 64 bits).
Para bloquear o ataque de Foreshadow via cache L3, o método de proteção Spectre-BTB (Buffer de destino de filial) implementado no conjunto de patch retpoline é eficaz.
Portanto, pesquisadores acreditam que é necessário deixar a retpoline habilitada mesmo em sistemas com CPUs mais novas, que já possuem proteção contra vulnerabilidades conhecidas no mecanismo de execução especulativa de instruções da CPU.
Por sua parte, o Representantes da Intel disseram que não planejam adicionar medidas de proteção adicionais contra Foreshadow para os processadores e considere-o suficiente para habilitar a proteção contra ataques Specter V2 e L1TF (Foreshadow).
fonte: https://arxiv.org