Група од истраживачи са Универзитета за технологију у Грацу у Аустрији и Хелмхолтз-ов центар за информациону сигурност (ЦИСПА), су идентификовали нови вектор напада Форесхадов (Л1ТФ), који вам омогућава да извучете податке из меморије Интел СГКС енклава, СММ-ова, подручја меморије језгра оперативног система и виртуелних машина у системима за виртуелизацију.
За разлику од оригиналног напада Форесхадов, Нова варијанта није специфична за Интел процесоре и утиче на њу ЦПУ других произвођача као што су АРМ, ИБМ и АМД. Штавише, нова опција не захтева високе перформансе и напад се може извршити чак и покретањем ЈаваСцрипт-а и ВебАссембли-а у веб прегледачу.
Форесхадов користи предност чињенице да када се меморији приступа на виртуелној адреси, што доводи до изузетка (неуспех странице терминала), процесор шпекулативно израчунава физичку адресу и учитава податке ако је у Л1 кеш меморији.
Шпекулативни приступ се врши пре него што се итерација заврши табеле меморијске странице и без обзира на стање уноса табеле меморијске странице (ПТЕ), односно пре провере да ли су подаци у физичкој меморији и да ли су читљиви.
По завршетку провере доступности меморије, у одсуству индикатора присутног у ПТЕ, операција се одбацује, али подаци се кеширају и могу се преузети коришћење метода за одређивање садржаја кеш меморије кроз бочне канале (анализом промена времена приступа кешираним и некешираним подацима).
Истраживачи су показали да постојеће методе заштите од Форесхадова су неефикасне а примењују се са нетачном интерпретацијом проблема.
Рањивост Форесхадов може се искористити без обзира на употребу заштитних механизама у језгру који су се раније сматрали довољним.
Као резултат, Истраживачи су показали могућност извођења напада Форесхадов на системе са релативно старим језгрима, у коме су омогућени сви доступни начини заштите Форесхадов, као и са новијим језгрима, у којима је онемогућена само заштита Спецтре-в2 (користећи опцију Линук кернел носпецтре_в2).
Утврђено је да ефекат преузимања није повезан са упутствима за претходно преузимање софтвера или хардверским ефектом преузимања током приступа меморији, већ произлази из шпекулативног преусмеравања регистара корисничког простора у језгро.
Ова погрешна интерпретација узрока рањивости у почетку је довела до претпоставке да се цурење података у Форесхадов-у може догодити само кроз Л1 кеш меморију, док је у језгру присутно одређених исечака кода (уређаја за претходно преузимање) може допринети цурењу података из Л1 кеш меморије, на пример у Л3 кеш меморији.
Откривена карактеристика такође отвара могућности за стварање нових напада. намењен превођењу виртуелних адреса у физичке адресе у окружењима са заштићеним окружењем и одређивању адреса и података ускладиштених у ЦПУ регистрима.
Као демонстрације, показали су истраживачи способност коришћења откривеног ефекта за извлачење података из једног процеса у други протоком од приближно 10 бита у секунди на систему са процесором Интел Цоре и7-6500У.
Такође је приказана могућност филтрирања садржаја записа Интел СГКС енклава (требало је 15 минута да се одреди 32-битна вредност записана у 64-битни регистар).
Да блокира напад Форесхадова преко Л3 кеш меморије, методом заштите Спецтре-БТБ (Бранцх Таргет Буффер) примењен у скупу закрпа ретполине је ефикасан.
Дакле, истраживачи сматрају да је неопходно да ретполин остане омогућен чак и на системима са новијим процесорима, који већ имају заштиту од познатих рањивости у спекулативном механизму извршења ЦПУ инструкција.
Са своје стране, Представници Интела рекли су да не планирају да додају додатне мере заштите против Форесхадова процесорима и сматрају га довољним да омогући заштиту од напада Спецтре В2 и Л1ТФ (Форесхадов).
izvor: https://arxiv.org