Grazi tehnikaülikooli (Austria) ja Helmholtzi infoturbekeskuse (CISPA) teadlaste rühm, () uus vektor külgkanalite rünnakute kasutamiseks (L1TF), mis võimaldab teil andmeid eraldada Intel SGX enklaavide mälust, SMM-ist (System Management Mode), OS-i tuuma mälupiirkondadest ja virtualiseerimissüsteemide virtuaalmasinatest. Erinevalt 2018. aastal kavandatud algsest rünnakust Uus variant ei ole spetsiifiline Inteli protsessoritele ja mõjutab teiste tootjate protsessoreid, nagu ARM, IBM ja AMD. Lisaks ei nõua uus variant kõrget jõudlust ning rünnak saab läbi viia isegi JavaScripti ja WebAssemblyt veebibrauseris käivitades.
Foreshadow rünnak kasutab ära asjaolu, et kui mälule ligipääsetakse virtuaalaadressil, mille tulemuseks on erand (terminalilehe viga), arvutab protsessor spekulatiivselt füüsilise aadressi ja laadib andmed, kui need on L1 vahemälus saadaval. Spekulatiivne juurdepääs tehakse enne mälulehtede tabeli otsingu lõpetamist ja olenemata mälulehe tabeli sisestuse (PTE) olekust, st. enne andmete olemasolu kontrollimist füüsilises mälus ja nende loetavust. Pärast mälu saadavuse kontrolli lõpetamist, kui PTE-s puudub lipp Present, jäetakse toiming kõrvale, kuid andmed jäävad vahemällu ja neid saab alla laadida vahemälu sisu määramise meetodite abil külgkanalite kaudu (juurdepääsuaja muutuste analüüsimine). vahemällu salvestatud ja vahemällu salvestamata andmetele).
Teadlased on näidanud, et olemasolevad Foreshadowi vastase kaitse meetodid on ebaefektiivsed ja neid rakendatakse probleemi ebaõige tõlgendamisega. Haavatavus
Foreshadowi saab kasutada sõltumata tuuma turvamehhanismidest, mida varem peeti piisavaks. Selle tulemusena näitasid teadlased võimalust viia läbi Foreshadow rünnak suhteliselt vanade tuumadega süsteemidele, milles on lubatud kõik saadaolevad Foreshadow kaitserežiimid, aga ka uute tuumadega, milles on keelatud ainult Spectre-v2 kaitse (kasutades Linuxi kerneli suvand nospectre_v2).
Leiti, et ei ole seotud tarkvara eellaadimisjuhiste ega riistvaraefektiga
eellaadimine mälule juurdepääsu ajal, kuid see juhtub siis, kui kernelis registreeritakse kasutajaruumi spekulatiivsed viited. See haavatavuse põhjuse valesti tõlgendamine viis algselt oletuseni, et Foreshadow andmete lekkimine võib toimuda ainult L1 vahemälu kaudu, samas kui teatud koodijuppide (eellaadimisvidinate) olemasolu tuumas võib kaasa aidata andmete lekkimisele väljaspool L1 vahemälu. näiteks L3 vahemälus.
Tuvastatud funktsioon avab ka võimaluse luua uusi ründeid, mis on suunatud virtuaalaadresside füüsiliseks tõlkimise protsessidele isoleeritud keskkondades ning CPU registritesse salvestatud aadresside ja andmete määramisele. Demonstratsioonina näitasid teadlased võimalust kasutada tuvastatud efekti andmete eraldamiseks ühest protsessist teise umbes 10 bitti sekundis jõudlusega süsteemis, millel on Intel Core i7-6500U protsessor. Näidatakse ka registri sisu lekkimise võimalust Intel SGX enklaavist (32-bitisesse registrisse kirjutatud 64-bitise väärtuse määramiseks kulus 15 minutit). Mõnda tüüpi rünnakuid osutus võimalikuks rakendada JavaScriptis ja WebAssemblys, näiteks oli võimalik määrata JavaScripti muutuja füüsiline aadress ja täita 64-bitised registrid ründaja kontrollitud väärtusega.
Foreshadow rünnaku blokeerimiseks L3 vahemälu kaudu on tõhus retpoline plaastrikomplektis rakendatud kaitsemeetod Spectre-BTB (Branch Target Buffer). Seega usuvad teadlased, et retpoliin tuleb jätta sisselülitatuks isegi uute protsessoritega süsteemides, millel on juba kaitse CPU spekulatiivse täitmismehhanismi teadaolevate haavatavuste eest. Samas teatasid Inteli esindajad, et neil ei ole plaanis protsessoritele Foreshadow vastu täiendavaid kaitsemeetmeid lisada ning peavad piisavaks lisada kaitset Spectre V2 ja L1TF (Foreshadow) rünnakute eest.
Allikas: opennet.ru