Một nhóm các nhà nghiên cứu từ Đại học Công nghệ Graz ở Áo và Trung tâm Bảo mật Thông tin Helmholtz (CISPA), đã xác định một vectơ tấn công Foreshadow mới (L1TF), cho phép bạn trích xuất dữ liệu từ bộ nhớ của bộ mã hóa Intel SGX, SMM, vùng bộ nhớ nhân hệ điều hành và máy ảo trong hệ thống ảo hóa.
Không giống như cuộc tấn công Foreshadow ban đầu, Biến thể mới không dành riêng cho bộ xử lý Intel và ảnh hưởng đến CPU từ các nhà sản xuất khác như ARM, IBM và AMD. Ngoài ra, tùy chọn mới không yêu cầu hiệu suất cao và cuộc tấn công có thể được thực hiện ngay cả khi chạy JavaScript và WebAssembly trong trình duyệt web.
Dự báo lợi dụng thực tế là khi bộ nhớ được truy cập tại một địa chỉ ảo, tạo ra một ngoại lệ (lỗi trang đầu cuối), bộ xử lý tính toán một cách suy đoán địa chỉ vật lý và tải dữ liệu nếu nó nằm trong bộ đệm L1.
Quyền truy cập đầu cơ được thực hiện trước khi quá trình lặp lại hoàn tất của bảng trang bộ nhớ và bất kể trạng thái của mục nhập bảng trang bộ nhớ (PTE), nghĩa là, trước khi xác minh rằng dữ liệu nằm trong bộ nhớ vật lý và có thể đọc được.
Sau khi hoàn thành kiểm tra tính khả dụng của bộ nhớ, trong trường hợp không có chỉ báo Hiện diện trong PTE, thao tác bị hủy, nhưng dữ liệu được lưu vào bộ nhớ đệm và có thể được truy xuất sử dụng các phương pháp để xác định nội dung bộ nhớ cache thông qua các kênh bên (bằng cách phân tích các thay đổi trong thời gian truy cập vào dữ liệu được lưu trong bộ nhớ cache và không được lưu trong bộ nhớ cache).
Các nhà nghiên cứu đã chỉ ra mà các phương pháp bảo vệ chống lại Dự báo hiện có không hiệu quả và chúng được thực hiện với cách giải thích vấn đề không chính xác.
Lỗ hổng báo trước có thể được tận dụng bất kể việc sử dụng các cơ chế bảo vệ trong nhân mà trước đây được coi là đủ.
Kết quả là Các nhà nghiên cứu đã chứng minh khả năng thực hiện một cuộc tấn công Foreshadow trên các hệ thống có nhân tương đối cũ, trong đó tất cả các chế độ bảo vệ Foreshadow có sẵn đều được bật, cũng như với các nhân mới hơn, trong đó chỉ có bảo vệ Spectre-v2 bị vô hiệu hóa (sử dụng tùy chọn nhân Linux nospectre_v2).
Hiệu ứng tìm nạp trước được phát hiện là không liên quan đến hướng dẫn tìm nạp trước phần mềm hoặc hiệu ứng tìm nạp trước phần cứng trong quá trình truy cập bộ nhớ, mà phát sinh từ sự tham khảo đầu cơ của các thanh ghi không gian người dùng trong nhân.
Việc giải thích sai nguyên nhân của lỗ hổng này ban đầu dẫn đến giả định rằng rò rỉ dữ liệu trong Foreshadow chỉ có thể xảy ra thông qua bộ đệm L1, trong khi sự hiện diện của một số đoạn mã (thiết bị tìm nạp trước) trong nhân nó có thể góp phần làm rò rỉ dữ liệu ra khỏi L1 bộ nhớ cache, ví dụ trong L3 Cache.
Tính năng được tiết lộ cũng mở ra cơ hội tạo ra các cuộc tấn công mới. nhằm dịch địa chỉ ảo sang địa chỉ vật lý trong môi trường hộp cát và xác định địa chỉ và dữ liệu được lưu trữ trong thanh ghi CPU.
Dưới dạng trình diễn, các nhà nghiên cứu cho thấy khả năng sử dụng hiệu ứng được tiết lộ để trích xuất dữ liệu từ quy trình này sang quy trình khác với thông lượng xấp xỉ 10 bit mỗi giây trên hệ thống có CPU Intel Core i7-6500U.
Khả năng lọc nội dung của các bản ghi cũng được hiển thị Bộ mã hóa Intel SGX (mất 15 phút để xác định giá trị 32 bit được ghi vào thanh ghi 64 bit).
Để chặn cuộc tấn công của Foreshadow thông qua bộ nhớ cache L3, phương pháp bảo vệ Spectre-BTB (Bộ đệm mục tiêu nhánh) được thực hiện trong bộ vá lỗi retpoline có hiệu quả.
Do đó, các nhà nghiên cứu tin rằng cần phải bật retpoline ngay cả trên các hệ thống có CPU mới hơn, vốn đã có khả năng bảo vệ chống lại các lỗ hổng đã biết trong cơ chế thực thi đầu cơ của các lệnh CPU.
Về phần mình, Đại diện Intel cho biết họ không có kế hoạch bổ sung các biện pháp bảo vệ chống lại Foreshadow cho bộ xử lý và coi nó là đủ để kích hoạt bảo vệ chống lại các cuộc tấn công Spectre V2 và L1TF (Foreshadow).
Fuente: https://arxiv.org