Eine Gruppe von Forschern der Technischen Universität Graz (Österreich) und des Helmholtz-Zentrums für Informationssicherheit (CISPA), () neuer Anwendungsvektor von Seitenkanalangriffen (L1TF), der das Extrahieren von Daten aus dem Speicher von Intel SGX-Enklaven, SMM (System Management Mode), Betriebssystemkernel-Speicherbereichen und virtuellen Maschinen in Virtualisierungssystemen ermöglicht. Im Gegensatz zum ursprünglichen Angriff aus dem Jahr 2018 Die neue Variante ist nicht spezifisch für Intel-Prozessoren und betrifft auch CPUs anderer Hersteller wie ARM, IBM und AMD. Zudem erfordert die neue Variante keine hohe Leistung, und der Angriff kann sogar durch die Ausführung von JavaScript und WebAssembly in einem Webbrowser durchgeführt werden.
Der Foreshadow-Angriff nutzt die Tatsache aus, dass der Prozessor beim Zugriff auf den Speicher an einer virtuellen Adresse, der zu einer Ausnahme (Terminal Page Fault) führt, die physische Adresse spekulativ berechnet und die Daten lädt, sofern sie sich im L1-Cache befinden. Der spekulative Zugriff erfolgt vor Abschluss der Enumeration der Speicherseitentabelle und unabhängig vom Zustand des Eintrags in der Speicherseitentabelle (PTE), d. h. vor der Überprüfung des Vorhandenseins von Daten im physischen Speicher und ihrer Lesebereitschaft. Fehlt nach Abschluss der Speicherverfügbarkeitsprüfung das Present-Flag in der PTE, wird der Vorgang verworfen, die Daten bleiben jedoch im Cache und können mithilfe von Methoden zur Bestimmung des Cache-Inhalts über Nebenkanäle (durch Analyse der Änderung der Zugriffszeit auf zwischengespeicherte und nicht zwischengespeicherte Daten) abgerufen werden.
Forscher haben gezeigt, dass bestehende Schutzmethoden gegen Foreshadow unwirksam sind und auf einer falschen Interpretation des Problems basieren.
Foreshadow kann unabhängig von den zuvor als ausreichend geltenden Schutzmechanismen des Kernels ausgenutzt werden. Letztendlich demonstrierten Forscher die Machbarkeit eines Foreshadow-Angriffs auf Systeme mit relativ alten Kerneln, bei denen alle verfügbaren Foreshadow-Schutzmodi aktiviert sind, sowie auf neuere Kernel, bei denen lediglich der Spectre-v2-Schutz deaktiviert ist (mittels der Kernel-Option). Linux nospectre_v2).
Man fand heraus, dass nicht im Zusammenhang mit Software-Prefetch-Anweisungen oder Hardware-Effekten
Prefetching beim Speicherzugriff, tritt aber bei der spekulativen Dereferenzierung von Userspace-Registern im Kernel auf. Diese Fehlinterpretation der Ursache der Sicherheitsanfälligkeit führte zunächst zu der Annahme, dass Datenlecks in Foreshadow nur über den L1-Cache auftreten könnten, während das Vorhandensein bestimmter Codefragmente (Prefetch-Gadgets) im Kernel Datenlecks außerhalb des L1-Caches, beispielsweise in den L3-Cache, begünstigen könnte.
Die identifizierte Funktion eröffnet auch Möglichkeiten zur Entwicklung neuer Angriffe, die auf die Prozesse der Übersetzung virtueller in physische Adressen in isolierten Umgebungen und auf die Ermittlung der in CPU-Registern gespeicherten Adressen und Daten abzielen. Zur Demonstration zeigten die Forscher die Möglichkeit, den identifizierten Effekt zu nutzen, um Daten mit einer Leistung von etwa 10 Bit pro Sekunde von einem Prozess in einen anderen zu extrahieren, auf einem System mit einer Intel Core i7-6500U CPU. Auch die Möglichkeit des Leaks von Registerinhalten aus der Intel SGX-Enklave wurde gezeigt (die Ermittlung eines in ein 32-Bit-Register geschriebenen 64-Bit-Werts dauerte 15 Minuten). Einige Arten von Angriffen konnten in JavaScript und WebAssembly implementiert werden. Beispielsweise war es möglich, die physische Adresse einer JavaScript-Variablen zu ermitteln und 64-Bit-Register mit einem vom Angreifer kontrollierten Wert zu füllen.
Die im Retpoline-Patch-Set implementierte Schutzmethode Spectre-BTB (Branch Target Buffer) blockiert den Foreshadow-Angriff über den L3-Cache effektiv. Daher halten es die Forscher für notwendig, Retpoline auch auf Systemen mit neuen CPUs aktiviert zu lassen, die bereits gegen bekannte Schwachstellen im spekulativen Ausführungsmechanismus von CPU-Befehlen geschützt sind. Gleichzeitig erklärten Intel-Vertreter, dass sie keine zusätzlichen Schutzmaßnahmen gegen Foreshadow für die Prozessoren planen und es für ausreichend halten, den Schutz gegen Spectre V2- und L1TF-Angriffe (Foreshadow) zu aktivieren.
Source: opennet.ru
