Skupina raziskovalci s Tehniške univerze v Gradcu v Avstriji in Helmholtzov center za informacijsko varnost (CISPA), so prepoznali novega vektorja napada Foreshadow (L1TF), ki omogoča pridobivanje podatkov iz pomnilnika enklav Intel SGX, SMM-jev, pomnilniških področij jedra operacijskega sistema in navideznih strojev v sistemih za virtualizacijo.
Za razliko od prvotnega napada Foreshadow, Nova različica ni značilna za Intelove procesorje in vpliva CPU drugih proizvajalcev, kot je ARM, IBM in AMD. Poleg tega nova možnost ne zahteva visoke zmogljivosti, napad pa je mogoče izvesti tudi z zagonom JavaScript in WebAssembly v spletnem brskalniku.
Foreshadow izkorišča dejstvo, da pri dostopu do pomnilnika na virtualnem naslovu, ki povzroči izjemo (odpoved strani terminala), procesor špekulativno izračuna fizični naslov in naloži podatke, če so v predpomnilniku L1.
Špekulativni dostop se opravi, preden je ponovitev končana tabele pomnilniških strani in ne glede na stanje vnosa tabele pomnilniških strani (PTE), torej preden preverite, ali so podatki v fizičnem pomnilniku in ali so berljivi.
Po zaključku preverjanja razpoložljivosti pomnilnika, če indikator ni prisoten v PTE, operacija je zavržena, vendar so podatki v predpomnilniku in jih je mogoče pridobiti z uporabo metod za določanje vsebine predpomnilnika po stranskih kanalih (z analizo sprememb v času dostopa do predpomnjenih in ne-predpomnjenih podatkov).
Raziskovalci so pokazali da obstoječe metode zaščite pred Foreshadowom so neučinkovite in se izvajajo z napačno razlago problema.
Ranljivost Foreshadow je mogoče izkoristiti ne glede na uporabo zaščitnih mehanizmov v jedru ki so se prej šteli za zadostne.
Kot rezultat, Raziskovalci so pokazali možnost napada Foreshadow na sisteme z relativno starimi jedri, v katerem so omogočeni vsi razpoložljivi načini zaščite Foreshadow, pa tudi z novejšimi jedri, pri katerih je onemogočena samo zaščita Spectre-v2 (z možnostjo jedra Linux nospectre_v2).
Ugotovljeno je bilo, da učinek vnaprejšnjega pridobivanja ni povezan z navodili za vnaprejšnjo prenašanje programske opreme ali učinkom vnaprejšnjega pridobivanja strojne opreme med dostopom do pomnilnika, temveč izvira iz špekulativne razporeditve registrov uporabniškega prostora v jedru.
Ta napačna interpretacija vzroka ranljivosti je sprva vodila do domneve, da lahko do uhajanja podatkov v Foreshadow pride samo skozi predpomnilnik L1, medtem ko lahko prisotnost določenih delčkov kode (naprave za vnaprejšnje pridobivanje) v jedru prispeva k uhajanju podatkov iz L1 predpomnilnika, na primer v predpomnilniku L3.
Razkrita funkcija odpira tudi priložnosti za ustvarjanje novih napadov. namenjen prevajanju navideznih naslovov v fizične naslove v okoljih peskovnika in določanju naslovov in podatkov, shranjenih v registrih CPU.
Kot predstavitve, so pokazali raziskovalci sposobnost uporabe razkritega učinka za pridobivanje podatkov iz enega procesa v drugega s pretokom približno 10 bitov na sekundo v sistemu s procesorjem Intel Core i7-6500U.
Prikazana je tudi možnost filtriranja vsebine zapisov iz enklave Intel SGX (za določitev 15-bitne vrednosti, zapisane v 32-bitni register, je trajalo 64 minut).
Da blokira napad Foreshadowa prek predpomnilnika L3, zaščitna metoda Spectre-BTB (Ciljni vmesnik podružnice) v kompletu popravkov za retpoline učinkovit.
zato raziskovalci menijo, da je treba retpolin pustiti omogočen tudi na sistemih z novejšimi CPU-ji, ki že imajo zaščito pred znanimi ranljivostmi v špekulativnem mehanizmu izvrševanja navodil CPU-ja.
Na svoji strani Predstavniki Intela so dejali, da ne nameravajo dodajati dodatnih zaščitnih ukrepov proti Foreshadowu procesorjem in menijo, da zadostuje za zaščito pred napadi Spectre V2 in L1TF (Foreshadow).
vir: https://arxiv.org