Une équipe de chercheurs de la Vrije Universiteit Amsterdam a publié Kasper Toolkit, un outil conçu pour détecter les vulnérabilités du noyau. Linux Extraits de code permettant d'exploiter des vulnérabilités de type Spectre dues à l'exécution spéculative de code sur le processeur. Le code source de cette boîte à outils est distribué sous licence Apache 2.0.
Rappelons que pour mener des attaques comme Spectre v1, qui permettent de déterminer le contenu de la mémoire, la présence dans le code privilégié d'une certaine séquence de commandes (gadgets) est requise, conduisant à une exécution spéculative d'instructions. . À des fins d'optimisation, le processeur commence à exécuter ces gadgets en mode spéculatif, puis détermine que la prédiction de branchement n'était pas justifiée et ramène les opérations à leur état d'origine, mais les données traitées lors de l'exécution spéculative se retrouvent dans le cache et les tampons microarchitecturaux et est disponible pour être récupéré à l'aide de diverses méthodes déterminant les données résiduelles via des canaux tiers.
Les outils précédemment disponibles pour analyser les gadgets pour la vulnérabilité Spectre, basés sur la recherche de modèles typiques, ont montré un niveau très élevé de faux positifs, tout en manquant de nombreux gadgets réels (des expériences ont montré que 99 % des gadgets identifiés par ces outils ne pouvaient pas être utilisés pour des attaques. , et 33 % des gadgets fonctionnels susceptibles de conduire à une attaque n'ont pas été remarqués).
Pour améliorer la qualité de l'identification des gadgets problématiques, Kasper modélise les vulnérabilités qu'un attaquant peut exploiter à chaque étape de la réalisation d'attaques de classe Spectre - les problèmes permettant le contrôle des données sont modélisés (par exemple, en remplaçant les données de l'attaquant dans des structures microarchitecturales pour influencer l'exécution spéculative ultérieure en utilisant Attaques de classe LVI), accéder à des informations confidentielles (par exemple, en dépassant les limites du tampon ou en utilisant de la mémoire après sa libération) et divulguer des informations confidentielles (par exemple, en analysant l'état du cache du processeur ou en utilisant la méthode MDS).
Lors des tests, le noyau communique avec les bibliothèques d'exécution Kasper et les contrôles basés sur LLVM. Le contrôle simule l'exécution de code spéculative à l'aide d'un mécanisme de restauration de point de contrôle qui exécute délibérément une branche de code mal prédite, puis revient à l'état initial antérieur à cette branche. Kasper tente également de simuler diverses vulnérabilités logicielles et matérielles, analyse l'impact des effets architecturaux et microarchitecturaux et effectue des tests de fuzzing des actions potentielles d'un attaquant. Le portage noyau DataFlowSanitizer est utilisé pour l'analyse du flux d'exécution. Linux, et pour les tests de fuzzing, une version modifiée du package syzkaller.
Lors de l'analyse du noyau Linux Grâce à Kasper, 1 379 gadgets jusque-là inconnus ont été identifiés, susceptibles d'entraîner des fuites de données lors de l'exécution d'instructions spéculatives. Seule une partie d'entre eux pourrait poser de réels problèmes, mais afin de démontrer l'existence d'une menace réelle et non seulement théorique, un prototype d'exploit fonctionnel a été développé pour l'un des fragments de code problématiques, provoquant une fuite d'informations depuis la mémoire du noyau.
Source: opennet.ru
