Un grup de cercetători de la Universitatea de Tehnologie din Graz în Austria și Centrul Helmholtz pentru Securitatea Informației (CISPA), au identificat un nou vector de atac Foreshadow (L1TF), care permite extragerea datelor din memorie din enclavele Intel SGX, SMM, zonele de memorie ale nucleului sistemului de operare și mașinile virtuale din sistemele de virtualizare.
Spre deosebire de atacul original Foreshadow, Noua variantă nu este specifică procesoarelor Intel și afectează CPU-uri de la alți producători, cum ar fi ARM, IBM și AMD. În plus, noua opțiune nu necesită performanțe ridicate și atacul poate fi efectuat chiar și prin rularea JavaScript și WebAssembly într-un browser web.
Foreshadow profită de faptul că atunci când memoria este accesată la o adresă virtuală, care ridică o excepție (defecțiune a paginii terminalului), procesorul calculează în mod speculativ adresa fizică și încarcă datele dacă sunt în cache-ul L1.
Accesul speculativ este efectuat înainte de finalizarea iterației a tabelului de pagini de memorie și indiferent de starea intrării tabelului de pagini de memorie (PTE), adică înainte de a verifica dacă datele sunt în memoria fizică și sunt lizibile.
După finalizarea verificării disponibilității memoriei, în absența indicatorului Prezent în PTE, operațiunea este eliminată, dar datele sunt stocate în cache și pot fi preluate utilizarea metodelor de determinare a conținutului cache-ului prin canale laterale (prin analizarea modificărilor timpului de acces la datele din cache și non-cache).
Cercetătorii au arătat că metodele existente de protecție împotriva Foreshadow sunt ineficiente și sunt implementate cu o interpretare incorectă a problemei.
Vulnerabilitatea Prefigura poate fi exploatat independent de utilizarea mecanismelor de protecție din nucleu care anterior erau considerate suficiente.
Ca urmare, cercetătorii au demonstrat posibilitatea de a efectua un atac Foreshadow asupra sistemelor cu nuclee relativ vechi, în care sunt activate toate modurile de protecție Foreshadow disponibile, precum și cu nucleele mai noi, în care numai protecția Spectre-v2 este dezactivată (folosind opțiunea de nucleu Linux nospectre_v2).
Sa constatat că efectul de preluare preliminară nu are legătură cu instrucțiunile de preluare preliminară a software-ului sau cu efectul de preluare preliminară hardware în timpul accesului la memorie, ci mai degrabă apare din dereferențiarea speculativă a registrelor spațiului utilizator din nucleu.
Această interpretare greșită a cauzei vulnerabilității a condus inițial la presupunerea că scurgerea de date în Foreshadow poate avea loc numai prin cache-ul L1, în timp ce prezența anumitor fragmente de cod (dispozitive de preluare preliminară) în kernel poate contribui la scurgerea de date din memoria cache L1. , de exemplu în memoria cache L3.
Caracteristica dezvăluită deschide, de asemenea, oportunități de a crea noi atacuri destinat să traducă adresele virtuale în adrese fizice în medii izolate și să determine adrese și date stocate în registrele CPU.
Ca demonstrații, au arătat cercetătorii posibilitatea de a folosi efectul revelat pentru extrageți date de la un proces la altul cu o performanță de aproximativ 10 biți pe secundă pe un sistem cu un procesor Intel Core i7-6500U.
Este afișată și posibilitatea de filtrare a conținutului înregistrărilor din enclava Intel SGX (a durat 15 minute pentru a determina o valoare de 32 de biți scrisă într-un registru de 64 de biți).
Pentru a bloca atacul lui Foreshadow prin cache L3, metoda de protecție Spectre-BTB (Branch Target Buffer) implementat în setul de plasturi retpoline este eficient.
În consecință, cercetătorii cred că este necesar să lase retpolina activată chiar și pe sistemele cu procesoare noi, care au deja protecție împotriva vulnerabilităților cunoscute în mecanismul de execuție a instrucțiunilor speculative al procesorului.
La rândul său, Reprezentanții Intel au spus că nu intenționează să adauge măsuri suplimentare de protecție împotriva Foreshadow către procesoare și consideră că este suficient pentru a activa protecția împotriva atacurilor Spectre V2 și L1TF (Foreshadow).
Fuente: https://arxiv.org