Група Дослідники з Університету Вірджинії та Каліфорнії представили новий тип нападу до мікроархітектурних структур процесорів Intel і AMD.
Запропонований метод атаки пов'язаний із використанням проміжного кешу мікрооперацій (мікро-кеш-пам’ять) у процесорах, який можна використовувати для вилучення інформації, яка осіла в процесі спекулятивного виконання інструкцій.
Помічено, що новий метод значно перевершує атаку Spectre v1 з точки зору продуктивності, це ускладнює виявлення атаки і не блокується існуючими методами захисту від атак через бічні канали, призначені для блокування вразливостей, спричинених спекулятивним виконанням інструкцій.
Наприклад, використання оператора LFENCE блокує витік на пізніх стадіях спекулятивного виконання, але не захищає від витоку через мікроархітектурні структури.
Метод впливає на моделі процесорів Intel і AMD, випущені з 2011 року, включаючи серії Intel Skylake та AMD Zen. Сучасні процесори розбивають складні інструкції процесора на простіші RISC-подібні мікрооперації, які кешуються в окремому кеші.
Цей кеш принципово відрізняється від кеш-пам’яті верхнього рівня, не є безпосередньо доступним і діє як буфер потоку для швидкого доступу до результатів декодування інструкцій CISC у мікроінструкцію RISC.
Однак дослідники знайшли спосіб створити умови, які виникають під час конфлікту доступу до кешу і дозволяючи судити про зміст кешу мікрооперацій шляхом аналізу відмінностей у часі виконання певних дій.
Кеш-пам’ять мікропроцесорів на процесорах Intel сегментована щодо потоків процесора (Hyper-Threading), тоді як процесори AMD Zen використовує спільний кеш, що створює умови для витоку даних не тільки в межах одного потоку виконання, але і між різними потоками SMT (витік даних можливий між кодом, що працює на різних логічних ядрах центрального процесора).
Дослідники запропонували базовий метод виявляти зміни в кеші мікро-операцій та різні сценарії атак, що дозволяють створювати приховані канали передачі даних і використовувати вразливий код для фільтрації конфіденційних даних, як в рамках одного процесу (наприклад, для організації процесу витоку даних під час запуску третього -партійний код у движках JIT та віртуальних машинах) та між ядром та процесами в просторі користувача.
Постановивши варіант атаки Spectre за допомогою кешу мікро-операції, дослідникам вдалося досягти пропускної здатності 965.59 Кбіт / с із коефіцієнтом помилок 0.22% та 785.56 Кбіт / с при використанні корекції помилок, у разі витоку в тій самій пам'яті адреси. та рівень привілеїв.
З витоками, що охоплюють різні рівні привілеїв (між ядром та користувацьким простором), пропускна здатність становила 85,2 Кбіт / с з доданою корекцією помилок та 110,96 Кбіт / с з 4% -ною частотою помилок.
При атаці на процесори AMD Zen, створюючи витік між різними логічними ядрами процесора, пропускна здатність становила 250 Кбіт / с із коефіцієнтом помилок 5,59% та 168,58 Кбіт / с з корекцією помилок. Порівняно з класичним методом Spectre v1, нова атака виявилася в 2,6 рази швидшою.
Очікується, що пом'якшення атаки кеш-пам'яті мікро-операторів вимагатиме більших змін, що призводять до погіршення продуктивності, ніж коли було ввімкнено захист Spectre.
В якості оптимального компромісу пропонується блокувати такі атаки не шляхом відключення кешування, а на рівні моніторингу аномалії та визначення типових станів кешу атак.
Як і в атаках Привид, організація витоку ядра або інших процесів вимагає виконання певного сценарію (гаджети) на стороні жертви процесів, що призводить до спекулятивного виконання вказівок.
Близько 100 таких пристроїв було знайдено в ядрі Linux і буде видалено, але регулярно знаходять рішення для їх генерування, наприклад, ті, що пов'язані із запуском спеціально створених програм BPF в ядрі.
В кінці кінців якщо вам цікаво дізнатись більше про це, Ви можете перевірити деталі У наступному посиланні.