זוהתה גרסה חדשה של מתקפת Zombieload על מעבדי אינטל

חוקרים מהאוניברסיטה הטכנית של גראץ (אוסטריה) חָשׂוּף מידע על שיטת התקפה חדשה דרך ערוצי צד שלישי עומס זומבי 2.0 (CVE-2019-11135), המאפשרת לחלץ מידע סודי מתהליכים אחרים, מערכת ההפעלה, מכונות וירטואליות ומובלעות מוגנות (TEE, Trusted Execution Environment). הבעיה משפיעה רק על מעבדי אינטל. רכיבים לחסימת הבעיה מוּצָע אתמול עדכון מיקרוקוד.

הבעיה שייכת למחלקת MDS (Microarchitectural Data Sampling) והיא גרסה מודרנית יצא לאור במאי התקפות ZombieLoad. ZombieLoad 2.0, כמו התקפות MDS אחרות, מסתמכת על יישום טכניקות ניתוח צדדיות על נתונים במבנים מיקרו-ארכיטקטוניים (לדוגמה, Line Fill Buffer ו- Store Buffer), המאחסנים באופן זמני נתונים המשמשים בתהליך. ביצוע פעולות Load and Store) .

גרסה חדשה של התקפת Zombieload מבוסס על הדליפה המתרחשת במהלך פעולת המנגנון להפסקה אסינכרונית של פעולות (TAA, TSX Asynchronous Abort), המיושם בתוסף TSX (Transactional Synchronization Extensions), המספק כלים לעבודה עם זיכרון טרנזקציות, המאפשר הגברת הביצועים של יישומים מרובים על ידי ביטול דינמי של פעולות סנכרון מיותרות (עסקאות אטומיות נתמכות שניתן לקבל או לבטל). אם מופרעות, פעולות המבוצעות באזור הזיכרון העסקאות מתבטלות.

הפסקת העסקה מתרחשת באופן אסינכרוני, ובמהלך זמן זה חוטים אחרים יכולים לגשת למטמון, המשמש גם באזור זיכרון העסקאות שנמחק. במהלך הזמן מההתחלה ועד להשלמתה בפועל של ביטול עסקה אסינכרונית, יתכן שייווצרו מצבים שבהם המעבד, במהלך ביצוע ספקולטיבי של פעולה, יכול לקרוא נתונים ממאגרים מיקרו-ארכיטקטוניים פנימיים ולהעבירם לפעולה הספקולטיבית. לאחר מכן, הקונפליקט יזוהה והפעולה הספקולטיבית תימחק, אך הנתונים יישארו במטמון וניתן לאחזר אותם באמצעות טכניקות שחזור מטמון של ערוץ צדדי.

המתקפה מסתכמת בפתיחת עסקאות TSX ויצירת תנאים להפרעה אסינכרונית שלהן, שבמהלכן נוצרים תנאים לדליפה של תוכן מאגרים פנימיים המלאים באופן ספקולטיבי בנתונים מפעולות קריאה בזיכרון המבוצעות על אותה ליבת מעבד. הדליפה מוגבלת לליבה הפיזית של ה-CPU הנוכחית (עליה פועל הקוד של התוקף), אך מכיוון שמאגרים מיקרו-ארכיטקטוניים משותפים בין פתילים שונים במצב Hyper-Threading, אפשר להדליף פעולות זיכרון המבוצעות בשרשורי מעבד אחרים.

לִתְקוֹף בכפוף ל כמה דגמים של הדור השמיני, התשיעי והעשירי של מעבדי Intel Core, כמו גם Intel Pentium Gold, Intel Celeron 5000, Intel Xeon E, Intel Xeon W והדור השני של Intel Xeon Scalable. מעבדי אינטל חדשים המבוססים על מיקרו-ארכיטקטורת Cascade Lake שהוצגה באפריל, אשר בתחילה לא הייתה רגישה להתקפות RIDL ו-Fallout, רגישים אף הם להתקפות. בנוסף ל-Zombieload 2.0, החוקרים זיהו גם את האפשרות לעקוף שיטות הגנה שהוצעו בעבר נגד התקפות MDS, בהתבסס על השימוש בהוראה VERW כדי לנקות את התוכן של מאגרים מיקרו-ארכיטקטוניים בעת חזרה מהקרנל למרחב המשתמש או בעת העברת שליטה אל מערכת האורחים.

הדו"ח של אינטל קובע כי במערכות עם עומס הטרוגני, היכולת לבצע תקיפה קשה, שכן דליפה ממבנים מיקרו-ארכיטקטוניים מכסה את כל הפעילות במערכת והתוקף אינו יכול להשפיע על מקור הנתונים שחולצו, כלומר. יכול רק לצבור מידע שמופיע כתוצאה מדליפה ולנסות לזהות מידע שימושי בין הנתונים הללו, ללא יכולת ליירט בכוונה נתונים הקשורים לכתובות זיכרון ספציפיות. עם זאת, חוקרים פרסמו לנצל אב טיפוס, פועל על לינוקס ו-Windows, והדגים את היכולת להשתמש בהתקפה כדי לקבוע את ה-hash של הסיסמה של משתמש השורש.
אולי ביצוע התקפה ממערכת אורחת לצבירת נתונים המופיעים בפעולות של מערכות אורחות אחרות, סביבת המארחת, ה-Hypervisor ומובלעות Intel SGX.

תיקונים לחסימת הפגיעות כלול לתוך בסיס הקוד של ליבת לינוקס ונכלל במהדורות 5.3.11, 4.19.84, 4.14.154, 4.9.201 ו-4.4.201. גם עדכוני ליבה ומיקרוקוד כבר שוחררו עבור הפצות גדולות (דביאן, SUSE/openSUSE, אובונטו, רהל, פדורה, FreeBSD). הבעיה זוהתה באפריל ותואם תיקון בין אינטל למפתחי מערכות ההפעלה.

השיטה הפשוטה ביותר לחסימת Zombieload 2.0 היא להשבית את תמיכת TSX במעבד. התיקון המוצע עבור ליבת לינוקס כולל מספר אפשרויות הגנה. האפשרות הראשונה מציעה את הפרמטר "tsx=on/off/auto", המאפשר לך לשלוט אם הרחבת TSX מופעלת במעבד (הערך אוטומטי משבית את TSX רק עבור מעבדים פגיעים). אפשרות ההגנה השנייה מופעלת על ידי הפרמטר "tsx_async_abort=off/full/full,nosmt" ומבוססת על ניקוי מאגרים מיקרו-ארכיטקטוניים במהלך החלפת הקשר (דגל nosmt משבית בנוסף את SMT/Hyper-Threads). כדי לבדוק אם מערכת רגישה לפגיעויות, sysfs מספקת את הפרמטר "/sys/devices/system/cpu/vulnerabilities/tsx_async_abort".

גם ב עדכון מיקרוקוד חוסלו עוד אחד פגיעות (CVE-2018-12207) במעבדי אינטל, אשר חסום גם בגרסה האחרונה עדכון ליבות לינוקס. פגיעות היא מאפשרת תוקף חסר זכויות ליזום מניעת שירות, מה שגורם למערכת להיתקע במצב "שגיאת בדיקת מכונה".
התקפה כולל עשוי להיות מחויב ממערכת האורחים.

מקור: OpenNet.ru