Ryhmä tutkijoita Grazin teknisestä yliopistosta (Itävalta) ja Helmholtzin tietoturvakeskuksesta (CISPA), () uusi vektori sivukanavahyökkäysten käyttämiseen (L1TF), jonka avulla voit poimia tietoja Intel SGX -enklaavien muistista, SMM:stä (System Management Mode), käyttöjärjestelmän ytimen muistialueista ja virtualisointijärjestelmien virtuaalikoneista. Toisin kuin alkuperäinen vuonna 2018 ehdotettu hyökkäys Uusi versio ei ole erityinen Intel-prosessoreille ja vaikuttaa muiden valmistajien, kuten ARM:n, IBM:n ja AMD:n, suorittimiin. Lisäksi uusi versio ei vaadi korkeaa suorituskykyä ja hyökkäys voidaan suorittaa jopa JavaScriptiä ja WebAssemblya käyttämällä selaimessa.
Foreshadow-hyökkäys hyödyntää sitä tosiasiaa, että kun muistia käytetään virtuaaliosoitteesta, joka johtaa poikkeukseen (päätesivuvirhe), prosessori laskee spekulatiivisesti fyysisen osoitteen ja lataa tiedot, jos niitä on L1-välimuistissa. Spekulatiivinen pääsy suoritetaan ennen kuin muistisivutaulukkohaku on valmis ja riippumatta muistisivutaulukkomerkinnän (PTE) tilasta, ts. ennen kuin tarkistat tietojen olemassaolon fyysisessä muistissa ja sen luettavuuden. Muistin saatavuuden tarkistuksen jälkeen, jos PTE:ssä ei ole Present-lippua, toiminto hylätään, mutta tiedot jäävät välimuistiin ja ne voidaan hakea menetelmillä, joilla määritetään välimuistin sisältö sivukanavien kautta (analysoimalla pääsyajan muutoksia välimuistissa oleviin ja välimuistiin tallentamattomiin tietoihin).
Tutkijat ovat osoittaneet, että olemassa olevat suojautumismenetelmät Foreshadowia vastaan ovat tehottomia ja ne toteutetaan virheellisen tulkinnan avulla. Haavoittuvuus
Foreshadowia voidaan hyödyntää riippumatta ytimen suojausmekanismeista, joita pidettiin aiemmin riittävinä. Tämän seurauksena tutkijat osoittivat mahdollisuuden suorittaa Foreshadow-hyökkäys järjestelmiin, joissa on suhteellisen vanhat ytimet, joissa kaikki käytettävissä olevat Foreshadow-suojaustilat ovat käytössä, sekä uusilla ytimillä, joissa vain Spectre-v2-suojaus on poistettu käytöstä (käyttäen Linux-ytimen vaihtoehto nospectre_v2).
Todettiin, että ei liity ohjelmiston esihakuohjeisiin tai laitteistovaikutukseen
esihaku muistin käytön aikana, mutta tapahtuu, kun käyttäjätilan spekulatiiviset viittaukset rekisteröityvät ytimeen. Tämä haavoittuvuuden syyn virheellinen tulkinta johti alun perin oletukseen, että Foreshadowin tietovuoto voi tapahtua vain L1-välimuistin kautta, kun taas tiettyjen koodinpätkien (esihakugadgetien) läsnäolo ytimessä voisi edistää tietovuotoa L1-välimuistin ulkopuolella. esimerkiksi L3-välimuistissa.
Tunnistettu ominaisuus avaa myös mahdollisuuden luoda uusia hyökkäyksiä, jotka on suunnattu virtuaaliosoitteiden muuntamiseen fyysisiksi eristetyissä ympäristöissä ja prosesseihin, jotka määrittävät CPU-rekistereihin tallennettuja osoitteita ja tietoja. Esittelynä tutkijat osoittivat mahdollisuuden käyttää tunnistettua vaikutusta tiedon poimimiseen prosessista toiseen noin 10 bitin sekunnissa suorituskyvyllä järjestelmässä, jossa on Intel Core i7-6500U -suoritin. Mahdollisuus vuotaa rekisterisisältöä Intel SGX -enklaavista näytetään myös (32-bittiseen rekisteriin kirjoitetun 64-bittisen arvon määrittäminen kesti 15 minuuttia). Jotkut hyökkäykset osoittautuivat mahdollisiksi toteuttaa JavaScriptissä ja WebAssemblyssa, esimerkiksi JavaScript-muuttujan fyysinen osoite oli mahdollista määrittää ja 64-bittiset rekisterit täyttää hyökkääjän hallitsemalla arvolla.
Foreshadow-hyökkäyksen estämiseksi L3-välimuistin kautta on tehokas retpoline-korjaussarjaan toteutettu Spectre-BTB (Branch Target Buffer) -suojausmenetelmä. Näin ollen tutkijat uskovat, että retpoline on jätettävä päälle jopa uusilla prosessoreilla varustetuissa järjestelmissä, joissa on jo suojaus tunnettuja haavoittuvuuksia vastaan CPU:n spekulatiivisessa suoritusmekanismissa. Samaan aikaan Intelin edustajat totesivat, etteivät he aio lisätä prosessoreihin lisäsuojaustoimenpiteitä Foreshadowia vastaan ja katsovat riittävän suojan sisällyttämisen Spectre V2- ja L1TF (Foreshadow) -hyökkäyksiä vastaan.
Lähde: opennet.ru