L1DES ‏(CacheOut) ו-VRS - פגיעויות חדשות במבנים מיקרו-ארכיטקטוניים של מעבדי אינטל

אינטל חָשׂוּף פרטים על שתי פגיעויות חדשות במעבדי אינטל שנגרמו עקב דליפות נתוני מטמון L1D (CVE-2020-0549, L1DES — דגימת פינוי L1D) ואוגרי וקטורים (CVE-2020-0548, VRS - דגימת אוגר וקטורים). פגיעויות שייכות למחלקה MDS (דגימת נתונים מיקרו-ארכיטקטונית) ומבוססים על יישום של שיטות ניתוח ערוץ צדדי על נתונים במבנים מיקרו-ארכיטקטוניים. מעבדי AMD, ARM ומעבדים אחרים אינם רגישים לבעיות אלו.

הסכנה הגדולה ביותר נובעת מפגיעות L1DES, אשר מאפשר הצטברות של בלוקי נתונים המאוחסנים במטמון (קווי מטמון) שפונו מהמטמון ברמה הראשונה (L1D) במאגר המילוי, שאמור להיות ריק בשלב זה. שיטות ניתוח ערוצי צד שהוצעו בעבר בהתקפות יכולות לשמש לזיהוי נתונים הלכודים במאגר המילוי. MDS (דגימת נתונים מיקרו-ארכיטקטונית) ו- ט.א.א. (ביטול אסינכרוני של עסקה). מהות ההגנה המיושמת בעבר מפני
MDS ו-TAA שניהם טובים בניקוי מאגרים מיקרו-ארכיטקטוניים לפני החלפת הקשר, אך מתברר שבתנאים מסוימים הנתונים נשטפים באופן ספקולטיבי לתוך המאגרים לאחר פעולת הניקוי, כך ש-MDS ו-TAA נשארים ישימים.

כתוצאה מכך, תוקף יכול לקבוע האם נתונים שסולקו מהמטמון ברמה הראשונה שונו במהלך ביצוע יישום שתפס בעבר את ליבת המעבד הנוכחית, או יישומים הפועלים במקביל בהליכים לוגיים אחרים (hyperthread) על אותה ליבת מעבד (השבתת HyperThreading מבטלת את יעילות ההתקפה). בניגוד להתקפה L1TFL1DES אינו מאפשר בחירת כתובות פיזיות ספציפיות לבדיקה, אך הוא כן מאפשר ניטור פסיבי של פעילות בתהליכים לוגיים אחרים הקשורים לטעינה או אחסון ערכים בזיכרון.

בהתבסס על L1DES, צוותי מחקר שונים פיתחו מספר גרסאות התקפה אשר פוטנציאלית מאפשרות חילוץ של מידע רגיש מתהליכים אחרים, מערכת ההפעלה, מכונות וירטואליות וממובלעות מאובטחות של SGX.

• צוות VUSec מְעוּבָּד שיטת התקפה RIDL עבור פגיעות L1DES. זמינה לנצל אב טיפוס, אשר גם עוקפת את שיטת ההגנה MDS המוצעת של אינטל, המבוססת על שימוש בהוראת VERW כדי לנקות את תוכן המאגרים המיקרו-ארכיטקטוניים בעת חזרה מהליבה למרחב המשתמש או בעת העברת שליטה למערכת האורחת (החוקרים התעקשו בתחילה ש-VERW (ניקוי מאגרים מיקרו-ארכיטקטוניים) אינו מספיק להגנה וכי נדרשת ניקוי מלא של מטמון L1 בכל החלפת הקשר).
• קבוצה זומבי עדכנתי את שלי שיטת תקיפה תוך התחשבות בפגיעות של L1DES.
• חוקרים מאוניברסיטת מישיגן פיתחו שיטת תקיפה משלהם. הוצאת מטמון (PDF), המאפשרת לחלץ מידע סודי מליבה של מערכת ההפעלה, מכונות וירטואליות וממובלעות מאובטחות של SGX. השיטה מבוססת על מניפולציות בעזרת מנגנון ביטול אסינכרוני (TAA) של TSX כדי לקבוע את תוכן מאגר המילוי לאחר דליפת נתונים ממטמון L1D.
  

הפגיעות השנייה היא VRS (דגימת רישום וקטורים) מְחוּבָּר דליפה לתוך מאגר האחסון של תוצאות פעולות קריאה מאוגרי וקטורים ששונו במהלך ביצוע הוראות וקטור (SSE, AVX, AVX-512) על אותה ליבת מעבד. הדליפה מתרחשת בנסיבות נדירות יחסית ונגרמת על ידי פעולה ספקולטיבית הגורמת לכך שמצב אוגרי הווקטורים המשתקפים במאגר האחסון מתעכב ומושלם לאחר ריקון המאגר, ולא לפני כן. בדומה לפגיעות L1DES, ניתן לקבוע את תוכן מאגר האחסון באמצעות התקפות MDS ו-TAA.

חוקרים מקבוצת VUSec מוּכָן לנצל אב טיפוס, המאפשר לקבוע את ערכי אוגרי הווקטור המתקבלים כתוצאה מחישובים בשרשור לוגי אחר של אותה ליבת מעבד. אינטל מוערך פגיעות ה-VRS נחשבה מורכבת מדי מכדי שניתן יהיה לתקוף אותה במצבים אמיתיים ודורגה ברמת החומרה הנמוכה ביותר (2.8) על ידי CVSS.

מידע על הבעיות דווח לאינטל במאי 2019 על ידי צוות Zombieload מאוניברסיטת גראץ לטכנולוגיה (אוסטריה) וצוות VUSec מאוניברסיטת Vrije באמסטרדם. מאוחר יותר, לאחר ניתוח וקטורי תקיפה אחרים של MDS, הפגיעויות אושרו על ידי מספר חוקרים אחרים. מידע על בעיות L1DES ו-VRS לא נכלל בדוח הראשוני של MDS עקב היעדר תיקון. תיקון עדיין אינו זמין, אך תקופת הסודיות המוסכמת פגה.
כפתרון עוקף, מומלץ להשבית את HyperThreading. כדי לחסום את הפגיעות בצד הליבה, מומלץ לרוקן את מטמון L1 בכל מתג הקשר (MSR bit MSR_IA32_FLUSH_CMD) ולהשבית את סיומת TSX (MSR bits MSR_IA32_TSX_CTRL ו-MSR_TSX_FORCE_ABORT).

אינטל הבטחות לשחרר עדכון מיקרו-קוד המייישם מנגנונים לחסימת הבעיות בעתיד הקרוב. אינטל מציינת גם כי יישום שיטות ההגנה מפני התקפה שהוצעו בשנת 2018 L1TF (תקלת טרמינל L1) מאפשרת חסימת ניצול הפגיעות של L1DES מסביבות וירטואליות. התקפה בכפוף ל מעבדי Intel Core, החל מהדור השישי (Sky, Kaby, Coffee, Whiskey, Amber Lake וכו'), כמו גם כמה דגמי Intel Xeon ו-Xeon Scalable.

בנוסף, ניתן לציין הַשׁבָּחָה לְנַצֵל, המאפשר שימוש בשיטות תקיפה RIDL כדי לקבוע את תוכן ה-hash של סיסמת הבסיס מ-/etc/shadow במהלך ניסיונות אימות תקופתיים. אם הניצול הראשוני שהוצע קבע את ה-hash של הסיסמה עבור שעות 24, ולאחר הפעלת דליפה במהלך פעולת מנגנון הפסיקה האסינכרונית (TAA, TSX Asynchronous Abort), היא ביצעה פעולה דומה ב 36 שניות, ואז הגרסה החדשה מבצעת התקפה תוך 4 שניות.

מקור: OpenNet.ru