Нов вариант на атака на Foreshadow, засягащ процесори Intel, AMD, ARM и IBM

Група изследователи от Техническия университет в Грац (Австрия) и Центъра за информационна сигурност Хелмхолц (CISPA), разкри (PDF) нов вектор за използване на атаки от страничен канал Предвестник (L1TF), който ви позволява да извличате данни от паметта на анклавите Intel SGX, SMM (режим на управление на системата), областите на паметта на ядрото на ОС и виртуалните машини в системите за виртуализация. За разлика от първоначалната атака, предложена през 2018 г Предвестник Новият вариант не е специфичен за процесорите на Intel и засяга процесори от други производители като ARM, IBM и AMD. Освен това новият вариант не изисква висока производителност и атаката може да бъде извършена дори чрез стартиране на JavaScript и WebAssembly в уеб браузър.

Атаката Foreshadow се възползва от факта, че когато паметта е достъпна на виртуален адрес, което води до изключение (терминална страница грешка), процесорът спекулативно изчислява физическия адрес и зарежда данните, ако са налични в L1 кеша. Спекулативният достъп се извършва преди завършване на търсенето в таблицата на страниците в паметта и независимо от състоянието на записа в таблицата на страниците в паметта (PTE), т.е. преди да проверите наличието на данни във физическата памет и тяхната четимост. След завършване на проверката на наличността на паметта, при липса на флага Present в PTE, операцията се отхвърля, но данните остават в кеша и могат да бъдат извлечени с помощта на методи за определяне на съдържанието на кеша през странични канали (чрез анализиране на промените във времето за достъп към кеширани и некеширани данни).

Изследователите са показали, че съществуващите методи за защита срещу Foreshadow са неефективни и се прилагат с неправилна интерпретация на проблема. Уязвимост
Foreshadow може да се използва независимо от механизмите за защита на ядрото, които преди са били считани за достатъчни. В резултат на това изследователите демонстрираха възможността за извършване на Foreshadow атака на системи със сравнително стари ядра, в които са активирани всички налични режими на защита на Foreshadow, както и с нови ядра, в които е деактивирана само защитата Spectre-v2 (използвайки опцията на ядрото на Linux nospectre_v2).

Установено е, че ефект на предварително натоварване не е свързано с инструкции за предварително извличане на софтуер или хардуерен ефект
предварително извличане по време на достъп до паметта, но се случва, когато спекулативните дереференции на потребителско пространство се регистрират в ядрото. Това погрешно тълкуване на причината за уязвимостта първоначално доведе до предположението, че изтичането на данни във Foreshadow може да възникне само през L1 кеша, докато наличието на определени кодови фрагменти (приспособления за предварително извличане) в ядрото може да допринесе за изтичане на данни извън L1 кеша, например в L3 кеш.

Идентифицираната функция също отваря възможността за създаване на нови атаки, насочени към процесите на преобразуване на виртуални адреси във физически в изолирани среди и определяне на адреси и данни, съхранявани в регистрите на процесора. Като демонстрация, изследователите показаха възможността за използване на идентифицирания ефект за извличане на данни от един процес в друг с производителност от около 10 бита в секунда на система с процесор Intel Core i7-6500U. Показана е и възможността за изтичане на съдържание на регистър от анклава Intel SGX (отне 32 минути, за да се определи 64-битова стойност, записана в 15-битов регистър). Някои видове атаки се оказаха възможни за изпълнение в JavaScript и WebAssembly, например беше възможно да се определи физическият адрес на JavaScript променлива и да се попълнят 64-битовите регистри със стойност, контролирана от атакуващия.

За да блокирате атаката на Foreshadow през L3 кеша, методът за защита Spectre-BTB (Branch Target Buffer), внедрен в комплекта корекции на retpoline, е ефективен. По този начин изследователите смятат, че е необходимо да се остави retpoline активиран дори на системи с нови процесори, които вече имат защита срещу известни уязвимости в механизма за спекулативно изпълнение на процесора. В същото време представители на Intel заявиха, че не планират да добавят допълнителни мерки за защита срещу Foreshadow към процесорите и считат за достатъчно да включат защита срещу атаки Spectre V2 и L1TF (Foreshadow).

Източник: opennet.ru