Вибірка виселення L1D, L1DES або також відомий CacheOut - одна з нових загроз які додані до списку знайомих, які дозволяють атакувати процесори Intel за допомогою спекулятивного коду. Це вже третій раз за менш ніж рік, коли Intel представляє новий набір уразливостей, пов’язаних зі спекулятивною функціональністю своїх процесорів.
З самого початку проблеми Intel почалися з Spectre і Meltdown, і це згодом поступилося місцем більшій кількості виявлених вразливостей, включаючи SPOILER, Foreshadow, SwapGS, ZombieLoad, RIDL та Fallout. Ну, нові атаки стосуються процесорів Intel, виготовлених до четвертого кварталу 2018 року.
На відміну від уразливостей MDS (Microarchitectural Data Sampling), згідно веб-сайту CacheOut:
Зловмисник може використовувати механізми кешування процесорів, щоб конкретно націлити дані, що фільтруються.
Першовідкривачі бачать вразливість CacheOut як черговий напад на спекулятивне виконання та непрямий наслідок Привиду та Розплаву
І полягає в тому, що дослідники VUSec, схоже, паралельно виявили вразливість, оскільки згідно з CVE, CacheOut ідентичний варіанту RIDL, який його відкривачі називають L1DES (вони відповідають офіційній назві Intel як L1D Eviction Sampling)
На високому рівні CacheOut змушує суперечку щодо кешу L1-D витіснити дані, на які вказує, з кешу. Опишемо два варіанти.
По-перше, у тому випадку, якщо кеш містить дані, модифіковані жертвою, вміст рядка кешу проходить через LFB, коли він записується в пам'ять.
По-друге, коли зловмисник хоче просочити дані, які жертва не змінює, зловмисник спочатку виселяє дані з кешу, а потім отримує їх під час транзиту через буфери заповнення рядка для задоволення одночасного зчитування від жертви.
Механізми захисту від колапсу Intel не матимуть ніякого впливу на CacheOut, але вони допомагають уникнути вразливості через браузер.
VUSec також пропонує доказ використання концепції для вразливості на Github. Уразливість містить CVE-2020-0549 як CacheOut.
в той час як Intel також призначає власний код (INTEL-SA-00329) та класифікує його як помірний (6.5). За даними самого Intel, дані в кеші даних L1 (L1D) можуть бути перенаправлені в невикористаний буфер L1D (буфер заповнення).
Дані можуть бути спеціально відфільтровані та прочитані з цього буфера заповнення за допомогою атак бічних каналів. Тому Intel називає цей метод читання L1D Eviction Sampling і розглядає потенційних жертв як підмножину L1TF (Foreshadow та Foreshadow-NG). На відміну від Foreshadow, зловмисники не повинні мати можливість спеціально запитувати фізичні адреси за допомогою CacheOut.
Інша вразливість які були виявлені і Intel відстежує вибірку векторних регістрів (RSV), Це найменш критично, оскільки Intel заявляє, що ця вада менш серйозна, оскільки складність атаки висока а шанси зловмисника отримати відповідні дані низькі. Крім того, VRS також вважається новим варіантом атаки RIDL.
VRS пов’язана з витоком в буфері магазину результатів операцій зчитування векторних регістрів, які були змінені під час виконання векторних інструкцій (SSE, AVX, AVX-512) в тому ж ядрі центрального процесора.
Витік відбувається за дуже особливих обставин і спричинений тим, що спекулятивна операція, що веде до відображення стану векторних записів у буфері зберігання, затримується та припиняється після буфер, а не раніше.
Нарешті, Intel оголосила, що за лічені тижні вона буде готувати оновлення релевантні для усунення цих несправностей.
Для процесорів AMD, ARM та IBM ці вразливості не зазнають впливу.
Подвиги вразливостей можна знайти у наступних посиланнях.