Intel két új Intel CPU-sebezhetőség részletei, amelyeket az L1D gyorsítótár adatszivárgása okozott (, L1DES — L1D kilakoltatási mintavételezés) és vektorregiszterek (, VRS — Vektorregiszter-mintavétel). A sebezhetőségek a következő osztályba tartoznak: (Mikroarchitekturális adatmintavételezés) és az oldalcsatorna-elemzési módszerek mikroarchitekturális struktúrákban lévő adatokra történő alkalmazásán alapulnak. Az AMD, ARM és más processzorok nem érzékenyek ezekre a problémákra.
A legnagyobb veszélyt az L1DES sebezhetőség jelenti, amely A gyorsítótárban tárolt adatblokkok (gyorsítótár sorok) felhalmozódása az első szintű gyorsítótárból (L1D) a kitöltő pufferben, amelynek ebben a szakaszban üresnek kellene lennie. A támadásokban korábban javasolt oldalcsatorna-elemzési módszerek felhasználhatók a kitöltő pufferben csapdába esett adatok azonosítására. (Mikroarchitekturális adatmintavételezés) és (Tranzakciós aszinkron megszakítás). A korábban megvalósított védelem lényege a
Az MDS és a TAA egyaránt jól alkalmas a mikroarchitektúra puffereinek kiürítésére a kontextusváltás előtt, de kiderült, hogy bizonyos körülmények között az adatok spekulatív módon kiürülnek a pufferekbe az kiürítési művelet után, így az MDS és a TAA továbbra is alkalmazható.
Ennek eredményeként a támadó meg tudja állapítani, hogy az első szintű gyorsítótárból kilakoltatott adatokat módosították-e egy olyan alkalmazás végrehajtása során, amely korábban az aktuális CPU-magot foglalta el, vagy olyan alkalmazások futtatása során, amelyek egyidejűleg más logikai szálakban (hyperthread) futnak ugyanazon a CPU-magon (a HyperThreading letiltása semlegesíti a támadás hatékonyságát). A támadással ellentétben Az L1DES nem teszi lehetővé konkrét fizikai címek kiválasztását az ellenőrzéshez, de lehetővé teszi a többi logikai szálban az értékek memóriába töltésével vagy tárolásával kapcsolatos aktivitás passzív monitorozását.
Az L1DES alapján különböző kutatócsoportok számos támadási variánst fejlesztettek ki, amelyek potenciálisan lehetővé teszik érzékeny információk kinyerését más folyamatokból, az operációs rendszerből, virtuális gépekből és az SGX biztonságos enklávéiból.
- VUSec csapat RIDL támadási módszer L1DES sebezhetőséghez. Elérhető , amely megkerüli az Intel által javasolt MDS védelmi módszert is, amely a VERW utasítás használatán alapul, amely a mikroarchitektúrás pufferek tartalmát törli, amikor a kernelből visszatérünk a felhasználói térbe, vagy amikor a vezérlést átruházzuk a vendégrendszerre (a kutatók kezdetben ragaszkodtak ahhoz, hogy a VERW (a mikroarchitektúrás pufferek törlése) nem elegendő a védelemhez, és hogy az L1 gyorsítótár teljes ürítése szükséges minden kontextusváltáskor).
- Csapat frissített enyém figyelembe véve az L1DES sérülékenységét.
- A Michigani Egyetem kutatói kidolgozták saját támadási módszerüket. (), amely lehetővé teszi bizalmas információk kinyerését az operációs rendszer kerneléből, a virtuális gépekből és az SGX biztonságos enklávéiból. A módszer a következőn alapul: a TSX aszinkron megszakítási (TAA) mechanizmusával a kitöltő puffer tartalmának meghatározására az L1D gyorsítótárból történő adatszivárgás után.
A második sebezhetőség a VRS (Vector Register Sampling) A vektorregiszterek olvasási műveleteinek eredményeinek szivárgása a tárolópufferbe, melyeket a vektorutasítások (SSE, AVX, AVX-512) végrehajtása során módosítottak ugyanazon a CPU-magon. A szivárgás viszonylag ritka körülmények között fordul elő, és egy spekulatív művelet okozza, aminek következtében a vektorregiszterek állapota a tárolópufferben késleltetve, a puffer kiürítése után fejeződik be, nem pedig előtte. Az L1DES sebezhetőséghez hasonlóan a tárolópuffer tartalma MDS és TAA támadásokkal is meghatározható.
A VUSec csoport kutatói , amely lehetővé teszi a vektorregiszterek értékeinek meghatározását, amelyeket ugyanazon CPU-mag egy másik logikai szálában végzett számítások eredményeként kapunk. Intel A VRS sebezhetőségét túl összetettnek ítélték ahhoz, hogy valós helyzetekben támadható legyen, és a CVSS a legalacsonyabb súlyossági szintre (2.8) értékelte.
A problémákról 2019 májusában számolt be az Intelnek a Grazi Műszaki Egyetem (Ausztria) Zombieload csapata és az Amszterdami Szabadegyetem (Vrije Universiteit Amsterdam) VUSec csapata. Később, más MDS támadási vektorok elemzése után több más kutató is megerősítette a sebezhetőségeket. Az L1DES és VRS problémákkal kapcsolatos információk nem szerepeltek a kezdeti MDS jelentésben a javítás hiánya miatt. Javítás továbbra sem érhető el, de a megállapodás szerinti titoktartási időszak lejárt.
Megoldásként ajánlott letiltani a HyperThreading-et. A kernel oldalon a sebezhetőség blokkolásához ajánlott minden kontextuskapcsolónál kiüríteni az L1 gyorsítótárat (MSR bit MSR_IA32_FLUSH_CMD), és letiltani a TSX kiterjesztést (MSR bitek MSR_IA32_TSX_CTRL és MSR_TSX_FORCE_ABORT).
Intel Az Intel a közeljövőben kiad egy mikrokód-frissítést, amely mechanizmusokat valósít meg a problémák blokkolására. Az Intel azt is megjegyzi, hogy a 2018-ban javasolt támadásvédelmi módszerek alkalmazása (L1 terminálhiba) lehetővé teszi az L1DES sebezhetőség virtuális környezetekből történő kihasználásának blokkolását. Támadás Intel Core processzorok, a hatodik generációtól kezdve (Sky, Kaby, Coffee, Whiskey, Amber Lake stb.), valamint néhány Intel Xeon és Xeon Scalable modell.
Ezenkívül meg lehet jegyezni , lehetővé téve támadási módszerek használatát hogy a /etc/shadow fájlból származó root jelszó-hash tartalmát meghatározzák a rendszeres hitelesítési kísérletek során. Ha az eredetileg javasolt kihasználás meghatározta a jelszó-hash-t a következőhöz: , és miután az aszinkron megszakításmechanizmus (TAA, TSX aszinkron megszakítás) működése során szivárgást alkalmaztak, hasonló műveletet hajtott végre a , akkor az új verzió 4 másodperc alatt támadást indít.
Forrás: opennet.ru
