En gruppe forskere fra det tekniske universitet i Graz (Østrig) og Helmholtz Center for Information Security (CISPA), () en ny vektor til brug af sidekanalangreb (L1TF), som giver dig mulighed for at udtrække data fra hukommelsen i Intel SGX-enklaver, SMM (System Management Mode), hukommelsesområder i OS-kernen og virtuelle maskiner i virtualiseringssystemer. I modsætning til det oprindelige angreb, der blev foreslået i 2018 Den nye variant er ikke specifik for Intel-processorer og påvirker CPU'er fra andre producenter såsom ARM, IBM og AMD. Derudover kræver den nye variant ikke høj ydeevne, og angrebet kan udføres selv ved at køre JavaScript og WebAssembly i en webbrowser.
Foreshadow-angrebet udnytter det faktum, at når hukommelsen tilgås på en virtuel adresse, der resulterer i en undtagelse (terminalsidefejl), beregner processoren spekulativt den fysiske adresse og indlæser dataene, hvis de er tilgængelige i L1-cachen. Spekulativ adgang udføres før søgningen efter hukommelsessidetabel er afsluttet og uanset tilstanden af hukommelsessidetabelindtastningen (PTE), dvs. før du kontrollerer tilstedeværelsen af data i den fysiske hukommelse og deres læsbarhed. Efter kontrollen af hukommelsestilgængelighed er afsluttet, i mangel af det nuværende flag i PTE, kasseres handlingen, men dataene forbliver i cachen og kan hentes ved hjælp af metoder til at bestemme cacheindholdet gennem sidekanaler (ved at analysere ændringer i adgangstid til cachelagrede og ikke-cachelagrede data).
Forskere har vist, at eksisterende metoder til beskyttelse mod Foreshadow er ineffektive og implementeres med en forkert fortolkning af problemet. Sårbarhed
Foreshadow kan udnyttes uanset de kernesikkerhedsmekanismer, der tidligere blev anset for tilstrækkelige. Som et resultat demonstrerede forskerne muligheden for at udføre et Foreshadow-angreb på systemer med relativt gamle kerner, hvor alle tilgængelige Foreshadow-beskyttelsestilstande er aktiveret, såvel som med nye kerner, hvor kun Specter-v2-beskyttelse er deaktiveret (ved hjælp af Linux-kerneindstillingen nospectre_v2).
Det blev fundet, at ikke relateret til software-prefetch-instruktioner eller hardwareeffekt
prefetch under hukommelsesadgang, men forekommer, når spekulative dereferencer af brugerpladsregistre i kernen. Denne fejlfortolkning af årsagen til sårbarheden førte oprindeligt til den antagelse, at datalækage i Foreshadow kun kunne ske gennem L1-cachen, mens tilstedeværelsen af visse kodestykker (prefetch-gadgets) i kernen kunne bidrage til datalækage uden for L1-cachen, for eksempel i L3-cache.
Den identificerede funktion åbner også mulighed for at skabe nye angreb rettet mod processerne med at oversætte virtuelle adresser til fysiske i isolerede miljøer og bestemme adresser og data, der er lagret i CPU-registre. Som en demonstration viste forskerne muligheden for at bruge den identificerede effekt til at udtrække data fra én proces til en anden med en ydeevne på omkring 10 bits i sekundet på et system med en Intel Core i7-6500U CPU. Muligheden for at lække registerindhold fra Intel SGX-enklaven er også vist (det tog 32 minutter at bestemme en 64-bit værdi skrevet til et 15-bit register). Nogle typer angreb viste sig at være mulige at implementere i JavaScript og WebAssembly, for eksempel var det muligt at bestemme den fysiske adresse på en JavaScript-variabel og udfylde 64-bit registre med en værdi styret af angriberen.
For at blokere Foreshadow-angrebet gennem L3-cachen er beskyttelsesmetoden Spectre-BTB (Branch Target Buffer) implementeret i retpoline-patchsættet effektiv. Forskerne mener således, at det er nødvendigt at lade retpoline være aktiveret selv på systemer med nye CPU'er, der allerede har beskyttelse mod kendte sårbarheder i den spekulative CPU-udførelsesmekanisme. Samtidig udtalte Intel-repræsentanter, at de ikke planlægger at tilføje yderligere beskyttelsesforanstaltninger mod Foreshadow til processorer og anser det for tilstrækkeligt at inkludere beskyttelse mod Spectre V2 og L1TF (Foreshadow) angreb.
Kilde: opennet.ru