iLeakage는 WebKit 엔진 기반 브라우저를 통해 Apple CPU의 취약점을 악용하는 방법입니다.

Georgia Institute of Technology, University of Michigan 및 Ruhr University의 연구원들은 브라우저에서 특별히 설계된 페이지를 열어 Apple A 및 M 시리즈 ARM 프로세서의 취약점을 악용할 수 있는 iLeakage 공격 기술을 개발했습니다. 연구원들이 준비한 익스플로잇 프로토타입은 브라우저에서 JavaScript 코드를 실행할 때 다른 탭에서 열린 사이트의 내용을 알아낼 수 있습니다. 예를 들어 Gmail 탭에서 열린 편지의 텍스트를 확인하는 기능을 시연했습니다. LastPass 비밀번호 관리자가 로그인 양식에 삽입한 비밀번호를 검색합니다. 이 공격은 macOS가 설치된 시스템의 Safari 브라우저와 iOS 플랫폼의 모든 브라우저에 적용 가능합니다(Apple 규칙에서는 모든 iOS 브라우저가 Safari에 공통적인 WebKit 시스템 엔진만 사용해야 함).

이 공격은 Apple 제품에만 적용되지만 WebKit 엔진의 타이머 확인 제한을 우회하는 흥미로운 방법을 제공하며 이는 다른 브라우저에서 유사한 제한을 우회하는 데 잠재적으로 유용할 수 있습니다. Apple M1 및 M2 칩에서 확인된 취약점은 고전적인 Spectre v1 취약점을 연상시키며 추측 모드에서 작업을 수행할 때 메모리 내용 누출로 이어집니다. 예측이 잘못된 경우 프로세서에서 이를 폐기합니다. 실행 흔적은 프로세서 캐시에 저장됩니다.

이 공격 방법에서는 추측 실행을 통해 브라우저에서 페이지 내용을 렌더링하는 프로세스의 주소 공간에서 임의의 64비트 포인터를 읽기 위한 기본 요소를 생성할 수 있었습니다. 다른 사람의 사이트가 렌더링되는 프로세스의 주소 공간에 액세스하기 위해 JavaScript window.open() 메서드를 사용하여 팝업 창에서 검사 중인 외계인 페이지를 여는 트릭이 사용되었습니다. 이 경우 사이트가 별도의 프로세스로 오픈된 것이 아니고, 공격자의 코드와 동일한 프로세스로 오픈된 것이다.

보안 조치로서 WebKit 엔진은 JavaScript가 압축된 35비트 포인터에서만 작동하도록 허용합니다. 전체 프로세스 주소 공간에 대한 액세스를 제공하고 35비트 제한을 우회하기 위해 연구원들은 Type Confusion 기술을 사용하여 JavaScript 엔진이 잘못된 유형의 개체를 처리하도록 했습니다. 엔진에서 특별히 설계된 JavaScript 개체를 처리할 때 배열에 액세스하는 명령의 추측 실행으로 이어지는 조건이 생성됩니다.

객체의 유형이 처리 중인 배열의 유형과 일치하지 않으므로 정상적인 조건에서는 이러한 동작이 차단되므로 Type Confusion 공격을 위한 코드는 조건부 "if" 블록에 배치되어 정상적인 조건에서는 활성화되지 않습니다. , 그러나 프로세서가 추가 분기를 잘못 예측하는 경우 추측 모드에서 실행됩니다. 결과적으로 프로세서는 생성된 64비트 포인터에 추론적으로 액세스하지만 실패한 예측을 확인한 후 상태를 롤백합니다. 이 경우 공유 캐시에 투기적 실행의 흔적이 저장되며, 사이드 채널을 통해 캐시의 내용을 확인하는 방법을 사용하여 복원할 수 있습니다.

공격은 추측 작업 후 남은 CPU L1 캐시에서 데이터를 추출하기 위해 Google이 이전에 제안한 pLRU(pseudo Least Recent Used) 방식을 변형한 방식을 사용합니다. 이 경우 원래의 pLRU 방식은 데이터에 접근할 때의 지연을 측정하는 것을 기반으로 하며, 그 차이를 통해 특정 시퀀스가 ​​프로세서 캐시에 있는지 여부를 판단할 수 있습니다(데이터를 캐시하면 작업이 더 빨리 수행되고, 그렇지 않은 경우 속도가 느려집니다). 최신 브라우저에서 프로세서 캐시 검색을 방지하기 위해 타이머의 정확도는 차이점을 감지할 수 없는 수준으로 크게 감소됩니다.

iLeakage 공격에서 타이머 정확도 한계를 극복하기 위해 경쟁 조건을 이용하여 캐시에 데이터가 있는지 여부를 판단하는 기술이 제안되었습니다. 이 방법의 핵심은 두 개의 스레드(메인 스레드와 참조 스레드)를 동시에 실행하는 것입니다. 참조 스레드에는 특정 참조 시간에 실행되는 일련의 명령이 포함됩니다. 참조 스레드 실행 초기에는 메인 스레드와 공유되는 변수가 1로 설정되고, 명령어가 실행된 후에는 변수가 1으로 재설정됩니다. 따라서 공유변수는 특정 짧은 시간 동안만 값 XNUMX을 갖습니다.

메인 스레드는 pLRU 방법을 사용하여 캐시의 데이터를 결정하는 주기를 시작합니다. 캐시에 검사된 데이터가 있는지 여부는 타이머에 의한 시간 측정이 아니라 검사 후 결합변수의 상태를 통해 알 수 있습니다. 변수의 값이 1이면 참조 코드보다 작업이 병렬 스레드에서 실행된 것보다 빠르게 완료된 것입니다. 데이터는 캐시에서 제공되었습니다. 변수에 0 값이 포함되어 있으면 캐시에 데이터가 부족하여 작업을 완료하는 데 상대적으로 오랜 시간이 걸렸으며 병렬 스레드의 참조 코드가 완전히 처리되는 데 시간이 걸렸습니다.

캐시 내용을 결정하기 위해 제안된 방법의 정확도는 90%~99% 범위이며, 데이터 결정 성능은 프로세서 및 장치에 따라 초당 23~34바이트입니다. 공격을 수행하기 전에 참조 코드 교정이 필요하며 약 64분 정도 소요됩니다. 현재 시스템에 대한 교정이 완료되면 30자 문자열을 추출하는 데 약 XNUMX초가 걸립니다.

또한 Chrome에서 익스플로잇이 포함된 페이지를 열 때 다른 프로세스에서 처리된 데이터를 추출하기 위해 Zen2 마이크로아키텍처 기반 AMD 프로세서의 Zenbleed 취약점을 사용하는 프로토타입 익스플로잇이 공개된 점에 주목할 수 있습니다. 이 익스플로잇에는 Zenbleed 취약점(CVE-2023-20593) 외에도 Chrome 2023에서 수정된 V3079 엔진의 CVE-8-115 취약점도 포함됩니다.

출처 : opennet.ru