🥇פגיעויות במנגנון MMIO של מעבדי אינטל

אינטל חשפה מידע על סוג חדש של דליפות נתונים באמצעות מבנים מיקרו-ארכיטקטוניים של מעבדים, המאפשרים, באמצעות מניפולציה של מנגנון ה-MMIO (Memory Mapped Input Output), לקבוע מידע המעובד בליבות CPU אחרות. לדוגמה, נקודות תורפה מאפשרות לחלץ נתונים מתהליכים אחרים, מובלעות אינטל SGX או מכונות וירטואליות. הפגיעויות ספציפיות רק למעבדי אינטל; מעבדים מיצרנים אחרים אינם מושפעים מהפגיעויות.

הפגיעויות מופיעות במעבדי אינטל שונים, כולל מעבדים המבוססים על מיקרו-ארכיטקטורות Haswell, Skylake, IceLake, Broadwell, Lakefield, Kabylake, Cometlake ו-Rocketlake, כמו גם Xeon EP/EX, Scalable וכמה מעבדי שרת Atom. כדי לבצע תקיפה נדרשת גישה ל-MMIO, אותה ניתן לקבל למשל במערכות וירטואליזציה המספקות יכולת גישה ל-MMIO עבור מערכות אורחות הנשלטות על ידי התוקף. ייתכן שיידרש תיקון גם עבור מערכות המשתמשות במובלעות מבודדות של Intel SGX (Software Guard Extensions).

חסימת הפגיעות דורשת הן עדכון מיקרוקוד והן שימוש בשיטות הגנה נוספות של תוכנה המבוססות על שימוש בהוראת VERW לניקוי התוכן של מאגרים מיקרו-ארכיטקטוניים בעת חזרה מהקרנל למרחב המשתמש או בעת העברת השליטה למערכת האורחת. הגנה דומה משמשת גם לחסימת התקפות שזוהו בעבר של מחלקות MDS (Microarchitectural Data Sampling), SRBDS (Special Register Buffer Data Sampling) ו-TAA (Transactional Asynchronous Abort).

בצד המיקרוקוד, השינויים הדרושים ליישום הגנה הוצעו בעדכון המיקרוקוד של מאי למעבדי אינטל (IPU 2022.1). בליבת לינוקס, הגנה מפני סוג חדש של התקפות כלולה במהדורות 5.18.5, 5.15.48, 5.10.123, 5.4.199, 4.19.248, 4.14.284 ו-4.9.319. כדי לבדוק את חשיפת המערכת לפרצות ב-MMIO ולהעריך את הפעילות של מנגנוני הגנה מסוימים, הקובץ "/sys/devices/system/cpu/vulnerabilities/mmio_stale_data" נוסף לגרעין הלינוקס. כדי לשלוט בהכללת ההגנה, יושם פרמטר האתחול של הליבה "mmio_stale_data", שיכול לקחת את הערכים "full" (מאפשר ניקוי מאגרים בעת מעבר למרחב משתמש וב-VM), "full,nosmt" ( כ"מלא" + משבית בנוסף את SMT/Hyper-Threads) ו"כבוי" (ההגנה מושבתת). תיקונים נפרדים מוצעים עבור ה-Xen hypervisor ומערכת ההפעלה Qubes.

המהות של מחלקה זוהה של פגיעויות היא שפעולות מסוימות מובילות להעתקה או העברה של נתונים שנותרו לאחר ביצוע על ליבות CPU אחרות ממאגר מיקרו-ארכיטקטוני אחד לאחר. פגיעויות ב-MMIO מאפשרות העברת נתונים שיוריים אלה ממאגרים מיקרו-ארכיטקטוניים מבודדים לרגיסטרים גלויים לאפליקציה או למאגרי CPU. שלוש שיטות זוהו להפקת נתונים שיוריים באמצעות MMIO:

DRPW (Device Register Partial Write, CVE-2022-21166) היא בעיה בטיפול לא נכון בכתיבה לכמה אוגרי MMIO. אם גודל הנתונים הנכתבים קטן מגודל האוגר, אזי המידע השיורי ממאגרי המילוי מועתק גם לאוגר. כתוצאה מכך, תהליך שמתחיל פעולת כתיבה לא שלמה לאוגר ה-MMIO יכול להשיג נתונים שנותרו במאגרים המיקרו-ארכיטקטוניים מפעולות המבוצעות בליבות CPU אחרות.
SBDS (Shared Buffers Data Sampling, CVE-2022-21125) היא דליפה של נתונים שיוריים ממאגר מילוי הקשור לגרעין הנובעת מתנועה ממאגרי ביניים המשותפים לכל הגרעינים.
SBDR (Shared Buffers Data Read, CVE-2022-21123) - הבעיה דומה ל-SBDS, אך שונה בכך ששיורי נתונים יכולים להגיע למבני CPU הנראים ליישומים. בעיות SBDS ו-SBDR מופיעות רק במעבדים למערכות לקוח ובמשפחת שרתי Intel Xeon E3.

מקור: OpenNet.ru

נקודות תורפה במנגנון MMIO של מעבדי אינטל

הוספת תגובה ביטול תגובה