Grazeko Unibertsitate Teknikoko (Austria) eta Helmholtz Center for Information Security (CISPA) ikertzaile talde batek,
Foreshadow erasoak aprobetxatzen du memoria salbuespen bat eragiten duen helbide birtual batean sartzen denean (terminal-orriaren akatsa), prozesadoreak espekulatiboki helbide fisikoa kalkulatzen duela eta datuak kargatzen ditu L1 cachean eskuragarri egonez gero. Sarbide espekulatiboa memoria-orri-taularen bilaketa amaitu baino lehen egiten da eta memoria-orri-taularen sarreraren (PTE) egoera edozein dela ere, hau da. memoria fisikoan datuen presentzia eta irakurgarritasuna egiaztatu aurretik. Memoriaren erabilgarritasunaren egiaztapena amaitu ondoren, PTEn Present banderarik ez dagoenean, eragiketa baztertu egiten da, baina datuak cachean geratzen dira eta alboko kanalen bidez cache-edukia zehazteko metodoak erabiliz (sarbide-denboraren aldaketak aztertuz). cachean gordetako eta cache gabeko datuetara).
Ikertzaileek frogatu dute Foreshadow-en aurkako babes-metodoak ez direla eraginkorrak eta arazoaren interpretazio oker batekin ezartzen direla. Zaurgarritasuna
Foreshadow ustiatu daiteke lehen nahikotzat jotzen ziren nukleoaren segurtasun mekanismoak kontuan hartu gabe. Ondorioz, ikertzaileek Foreshadow eraso bat egiteko aukera frogatu zuten nukleo zahar samarrak dituzten sistemetan, zeinetan eskuragarri dauden Foreshadow babes-modu guztiak gaituta dauden, baita nukleo berriekin ere, zeinetan Spectre-v2 babesa bakarrik desgaituta dagoen Linux kernel aukera nospectre_v2).
Hori aurkitu zen
prebetch memoria sarbidean, baina erabiltzaile-espazioaren deserreferentzia espekulatiboak nukleoan erregistratzen direnean gertatzen da. Ahultasunaren kausaren interpretazio oker honek hasiera batean Foreshadow-en datu-ihesak L1 cachearen bidez soilik gerta zitezkeela suposatu zuen, nukleoan kode zati jakin batzuk (aurreskuratzeko tresnak) egoteak L1 cachetik kanpo datuen ihesa eragin zezakeela. adibidez, L3 cachean.
Era berean, identifikatutako ezaugarriak eraso berriak sortzeko aukera zabaltzen du ingurune isolatuetan helbide birtualak fisikoetara itzultzeko eta CPU erregistroetan gordetako helbideak eta datuak zehazteko prozesuetara zuzenduta. Erakusketa gisa, ikertzaileek identifikatutako efektua erabiltzeko aukera erakutsi zuten prozesu batetik bestera datuak ateratzeko segundoko 10 bit inguruko errendimenduarekin Intel Core i7-6500U CPU bat duen sistema batean. Intel SGX enklabetik erregistroko edukiak filtratzeko aukera ere erakusten da (32 minutu behar izan ziren 64 biteko erregistro batean idatzitako 15 biteko balio bat zehazteko). Eraso mota batzuk JavaScript eta WebAssembly-n inplementatu daitezke, adibidez, JavaScript aldagai baten helbide fisikoa zehaztu eta 64 biteko erregistroak erasotzaileak kontrolatutako balio batekin bete daitezke.
L3 cachearen bidez Foreshadow erasoa blokeatzeko, retpoline adabaki multzoan ezarritako Spectre-BTB (Branch Target Buffer) babes metodoa eraginkorra da. Hala, ikertzaileek uste dute beharrezkoa dela retpoline gaituta uztea PUZaren exekuzio espekulatiboaren mekanismoan dagoeneko ezagutzen diren ahultasunen aurkako babesa duten PUZ berriak dituzten sistemetan ere. Aldi berean, Inteleko ordezkariek adierazi dute ez dutela aurreikusi prozesadoreetan Foreshadow-en aurkako babes-neurri gehigarririk gehitzeko eta nahikoa dela uste dute Spectre V2 eta L1TF (Foreshadow) erasoen aurkako babesa sartzea.
Iturria: opennet.ru