Атака срещу Intel SGX за извличане на чувствителни данни или изпълнение на код в анклав

Изследователи от Научно-технологичния университет за отбрана на Народната освободителна армия, Националния университет на Сингапур и ETH Цюрих са разработили нов метод за атака на изолирани анклави Intel SGX (Software Guard eXtensions). Атаката се нарича SmashEx и е причинена от проблеми с повторното влизане при обработка на извънредни ситуации по време на работа на компоненти за изпълнение на Intel SGX. Предложеният метод за атака прави възможно, ако имате контрол над операционната система, да определите поверителни данни, намиращи се в анклава, или да организирате копирането на вашия код в паметта на анклава и неговото изпълнение.

Подготвени са прототипи на експлойт за анклави с време за изпълнение, базирано на Intel SGX SDK (CVE-2021-0186) и Microsoft Open Enclave (CVE-2021-33767). В първия случай беше демонстрирана възможността за извличане на RSA ключ, използван на уеб сървър за HTTPS, а във втория беше възможно да се определи съдържанието, получено от помощната програма cURL, работеща вътре в анклава. Уязвимостта вече е адресирана програмно в изданията на Intel SGX SDK 2.13 и Open Enclave 0.17.1. В допълнение към Intel SGX SDK и Microsoft Open Enclave, уязвимостта се появява и в Google Asylo SDK, EdgelessRT, Apache Teaclave, Rust SGX SDK, SGX-LKL, CoSMIX и Veracruz.

Нека припомним, че технологията SGX (Software Guard Extensions) се появи в процесорите Intel Core от шесто поколение (Skylake) и предлага серия от инструкции, които позволяват на приложенията на потребителско ниво да разпределят затворени области на паметта - анклави, чието съдържание не може да бъде прочетено и модифициран дори от ядрото и кода, изпълняван в режими ring0, SMM и VMM. Невъзможно е да се прехвърли контрола върху кода в анклава с помощта на традиционните функции за прескачане и манипулации с регистри и стека - специално създадени нови инструкции EENTER, EEXIT и ERESUME се използват за прехвърляне на контрол към анклава, които извършват проверки на авторитета. В този случай кодът, поставен в анклава, може да използва класически методи за извикване за достъп до функции вътре в анклава и специални инструкции за извикване на външни функции. Enclave шифроването на паметта се използва за защита срещу хардуерни атаки, като например свързване към DRAM модул.

Проблемът е, че технологията SGX позволява на операционната система да прекъсне анклав чрез хвърляне на хардуерно изключение, а анклавите не прилагат правилно примитиви за атомно обработване на такива изключения. За разлика от ядрото на операционната система и обикновените приложения, кодът в анклавите няма достъп до примитиви за организиране на атомарни действия при обработка на асинхронно хвърлени изключения. Без посочените атомни примитиви, анклавът може да бъде прекъснат по всяко време и върнат към изпълнение, дори когато анклавът изпълнява критични секции и е в опасно състояние (например, когато регистрите на процесора не са запазени/възстановени).

За нормална работа технологията SGX позволява изпълнението на анклава да бъде прекъснато от конфигурируеми хардуерни изключения. Тази функция позволява на средите за изпълнение на анклав да прилагат обработка на изключения в рамките на анклава или обработка на сигнали, но също така може да причини грешки при повторно влизане. Атаката SmashEx се основава на използване на пропуски в SDK, поради което ситуацията на повторно извикване на манипулатора на изключения не се обработва правилно. Важно е, че за да се използва уязвимостта, атакуващият трябва да може да прекъсне изпълнението на анклава, т.е. трябва да контролира работата на системната среда.

След хвърляне на изключение, атакуващият получава малък времеви прозорец, през който нишката за изпълнение може да бъде прихваната чрез манипулиране на входните параметри. По-специално, ако имате достъп до системата (среда извън анклава), можете да създадете ново изключение веднага след изпълнение на инструкцията за влизане в анклава (EENTER), което ще върне контрола на системата на етап, когато настройката на стека за все още не е завършен анклав, в който също се записва състоянието на регистрите на процесора.

След това системата може да върне контрола обратно на анклава, но тъй като стекът на анклава не е конфигуриран по време на прекъсването, анклавът ще се изпълни със стека, който се намира в системната памет, което може да се използва за използване на ориентирано към връщане програмиране (ROP ) техники за експлоатация.Ориентирано програмиране). Когато използва ROP техниката, атакуващият не се опитва да постави кода си в паметта, а оперира с части от машинни инструкции, които вече са налични в заредените библиотеки, завършвайки с инструкция за връщане на контрол (като правило това са краищата на библиотечните функции) . Работата на експлойта се свежда до изграждане на верига от обаждания към подобни блокове („джаджи“), за да се получи желаната функционалност.

Източник: opennet.ru