Google демонстрира използване на уязвимостите на Spectre чрез изпълнение на JavaScript в браузъра

Google публикува няколко експлойт прототипа, показващи възможността за използване на уязвимостите на клас Spectre при изпълнение на JavaScript код в браузър, заобикаляйки добавени по-рано методи за защита. Експлойтите могат да се използват за получаване на достъп до паметта на процес, който обработва уеб съдържание в текущия раздел. За да се тества работата на експлойта, беше пуснат сайтът leaky.page, а кодът, описващ логиката на работата, беше публикуван в GitHub.

Предложеният прототип е проектиран да атакува системи с процесори Intel Core i7-6500U в среда на Linux и Chrome 88. Необходими са промени, за да се приложи експлойтът в други среди. Методът на експлоатация не е специфичен за процесорите на Intel - след подходяща адаптация беше потвърдено, че експлойтът работи на системи с процесори от други производители, включително Apple M1, базиран на ARM архитектурата. След незначителни корекции експлойтът работи и на други операционни системи и други браузъри, базирани на двигателя Chromium.

В среда, базирана на стандартни процесори Chrome 88 и Intel Skylake, бяха изтекли данни от процеса, отговорен за обработката на уеб съдържание в текущия раздел на Chrome (процес на изобразяване), със скорост от 1 килобайт в секунда. Освен това бяха разработени алтернативни прототипи, например експлойт, който позволява, с цената на намаляване на стабилността, да се увеличи скоростта на изтичане до 8kB / s при използване на таймера performance.now() с точност от 5 микросекунди (0.005 милисекунди) . Подготвен е и вариант, работещ с точност на таймера до една милисекунда, който може да се използва за организиране на достъп до паметта на друг процес със скорост около 60 байта в секунда.

Публикуваният демо код се състои от три части. Първата част калибрира таймера, за да оцени времето за изпълнение на операциите, необходими за възстановяване на данни, останали в кеша на процесора в резултат на спекулативно изпълнение на инструкции на процесора. Втората част определя оформлението на паметта, използвано при разпределяне на JavaScript масива.

Третата част директно използва уязвимостта на Spectre, за да определи съдържанието на паметта на текущия процес в резултат на създаване на условия за спекулативно изпълнение на определени операции, резултатът от които се отхвърля от процесора след определяне на неуспешна прогноза, но изпълнението следите се депозират в общия кеш и могат да бъдат възстановени с помощта на методи за определяне на съдържанието на кеша от канали на трети страни, които анализират промените във времето за достъп до кеширани и некеширани данни.

Предложената техника за използване елиминира високопрецизните таймери, налични чрез API performance.now() и без поддръжка за типа SharedArrayBuffer, който позволява създаване на масиви в споделена памет. Експлойтът включва притурката Spectre, която предизвиква контролирано спекулативно изпълнение на код, и анализатор на изтичане на страничен канал, който определя данните, получени по време на спекулативното изпълнение, които са попаднали в кеша.

Притурката се реализира с помощта на JavaScript масив, в който се прави опит за достъп до област извън границите на буфера, засягайки състоянието на блока за предсказване на разклонения поради проверката на размера на буфера, добавена от компилатора (процесорът, гледащ напред , спекулативно извършва достъпа, но връща състоянието след проверката). За да се анализира съдържанието на кеша при условия на недостатъчна точност на таймера, се предлага метод, който заблуждава стратегията за изваждане на кеша Tree-PLRU, използвана в процесорите, и позволява чрез увеличаване на броя на циклите значително да се увеличи разликата във времето при връщане на стойност от кеша и когато няма стойност в кеша.

Отбелязва се, че Google публикува прототип на експлоатация, за да покаже реализма на атаките, използващи уязвимости от класа Spectre, и да насърчи уеб разработчиците да използват техники, които минимизират рисковете от такива атаки. В същото време Google смята, че без значително преразглеждане на предложения прототип е невъзможно да се създадат универсални експлойти, които да са готови не само за демонстрация, но и за широко използване.

За да намалят риска, собствениците на сайтове се насърчават да използват наскоро внедрената политика за отваряне на кръстосани източници (COOP), правила за вграждане на кръстосани източници (COEP), политики за ресурси с кръстосани източници (CORP), заявка за извличане на метаданни, X-Frame-Options, X -Content-Type-Options и SameSite Cookies. Тези механизми не защитават директно срещу атаки, но позволяват изолиране на данни от сайта от изтичане в процеси, в които може да се изпълни JavaScript кодът на атакуващия (течът възниква от паметта на текущия процес, в който, в допълнение към кода на атакуващия, данни от друг сайт, отворен в същия раздел). Основната идея е да се отдели в различни процеси изпълнението на кода на сайта от кода на трета страна, получен от ненадеждни източници, например включен чрез iframe.

Източник: opennet.ru