🥇Уязвимост от клас Meltdown, открита в AMD процесори, базирани на Zen+ и Zen 2 микроархитектури

Група изследователи от Техническия университет в Дрезден идентифицира уязвимост (CVE-2020-12965) в процесорите на AMD, базирани на Zen+ и Zen 2 микроархитектури, която позволява атака от клас Meltdown. Първоначално се предполагаше, че процесорите AMD Zen+ и Zen 2 не са податливи на уязвимостта Meltdown, но изследователите идентифицираха функция, която води до спекулативен достъп до защитени области на паметта при използване на неканонични виртуални адреси.

Архитектурата AMD64 използва само първите 48 бита от виртуалния адрес и игнорира останалите 16 бита. Уточнява се, че битове от 48 до 63 трябва винаги да копират стойността на бит 47 (разширение на знаков бит). Ако това условие е нарушено и се направи опит за достъп до адрес с произволни стойности на горните битове, процесорът генерира изключение. Многократното запълване на горните битове води до разделяне на наличното адресно пространство на два блока - долен (от 0 до 00007FFFFFFFFFFFFF), в който горните битове са зададени на 800000000000, и горен (от FFFF1 до FFFFFFFFFFFFFFFFFF), в който всички горни битове са зададени на XNUMX.

Адресите, попадащи в посочените блокове, се наричат канонични, а неправилните адреси с произволно съдържание на горните битове се наричат неканонични. Долният диапазон от канонични адреси обикновено се разпределя за данни за процеса, а горният диапазон се използва за данни на ядрото (достъпът до тези адреси от потребителското пространство е блокиран на ниво разделяне на привилегии).

Класическата уязвимост Meltdown се основава на факта, че по време на спекулативно изпълнение на инструкции, процесорът може да получи достъп до лична област с данни и след това да отхвърли резултата, тъй като зададените привилегии забраняват такъв достъп от процеса на потребителя. В програмата спекулативно изпълненият блок е отделен от основния код чрез условен клон, който в реални условия винаги се задейства, но поради факта, че условният оператор използва изчислена стойност, която процесорът не знае по време на превантивното изпълнение на кода, всички опции за клонове се извършват спекулативно.

Тъй като спекулативно изпълнените операции използват същия кеш като нормално изпълняваните инструкции, е възможно по време на спекулативното изпълнение да се зададат маркери в кеша, които отразяват съдържанието на отделни битове в частна област на паметта, а след това в нормално изпълняван код да се определи тяхната стойност чрез синхронизация анализ на достъп до кеширани и некеширани данни.

Характеристика на новата уязвимост, която засяга процесорите AMD Zen+ и Zen 2, е, че процесорите позволяват спекулативни операции за четене и запис, които осъществяват достъп до паметта, използвайки невалидни неканонични адреси, просто игнорирайки горните 16 бита. По този начин, по време на спекулативно изпълнение на код, процесорът винаги използва само по-ниските 48 бита, а валидността на адреса се проверява отделно. Ако при преобразуване на неканоничен виртуален адрес към физически адрес в буфера за асоциативен превод (TLB) се открие съвпадение в каноничната част на адреса, тогава операцията за спекулативно зареждане ще върне стойността, без да взема предвид съдържанието от горните 16 бита, което позволява заобикаляне на споделянето на памет между нишки. Впоследствие операцията ще се счита за невалидна и ще бъде отхвърлена, но достъпът до паметта ще бъде завършен и данните ще се окажат в кеша.

По време на експеримента, използвайки техниката за определяне на съдържанието на кеша FLUSH+RELOAD, изследователите успяха да организират канал за скрит трансфер на данни със скорост 125 байта в секунда. В допълнение към чиповете на AMD, проблемът засяга и всички процесори на Intel, които са податливи на класическата уязвимост Meltdown. Същите техники, които помагат за блокиране на атаки Meltdown, като например използването на инструкции на LFENCE, могат да се използват за защита срещу този нов тип атака. Например, ако процесор на Intel включва хардуерна защита срещу Meltdown или системата има активирана софтуерна защита, тогава такива конфигурации не са податливи на новия вариант на атака.

В същото време изследователите отбелязват, че в сравнение с процесорите на Intel, архитектурата на процесорите на AMD ограничава възможността за извършване на реални атаки, но не изключва използването на нов метод в комбинация с други микроархитектурни атаки за повишаване на тяхната ефективност. По-специално, предложената атака не позволява да се определи съдържанието на областите на паметта на ядрото и други процеси, но е ограничена до възможността за получаване на достъп до други нишки на същата програма, изпълнявани в същото пространство на виртуалната памет.

Тъй като програма без уязвимост има способността да получи достъп до своите нишки, от практическа гледна точка методът представлява интерес за заобикаляне на изолацията на пясъчника и организиране на намеса в работата на други нишки в програми, които позволяват изпълнението на трети страни код, като например уеб браузъри и JIT двигатели. Изследователите изследваха уязвимостта на JavaScript двигателя на SpiderMonkey и ядрото на Linux за атака, но не откриха уязвими кодови последователности, които биха могли да бъдат използвани за извършване на атака. В допълнение към атакуването на приложения, методът може да се използва и за форсиране на неприемливи потоци от данни между микроархитектурните елементи на процесора, като същевременно се използват други микроархитектурни уязвимости.

Източник: opennet.ru

Уязвимост от клас Meltdown е открита в AMD процесори, базирани на Zen+ и Zen 2 микроархитектури

Добавяне на нов коментар

Уязвимост от клас Meltdown е открита в AMD процесори, базирани на Zen+ и Zen 2 микроархитектури

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар