Eng Grupp vu Fuerscher vun der Graz University of Technology (Éisträich), virdru bekannt fir Attackemethoden z'entwéckelen , , и , Fuerschung an Hardware Optimisatiounen spezifesch fir AMD Prozessoren an zwee nei Methode vun Säit-Kanal Attacken déi Daten Leckage während der Operatioun vun der L1 Cache Kanal Viraussetzung Mechanismus vun AMD Prozessor manipuléieren. D'Technike kënne benotzt ginn fir d'Effizienz vum ASLR-Schutz ze reduzéieren, Schlësselen a vulnérabel AES-Implementatiounen ze recuperéieren an d'Effizienz vum Spectre Attack ze erhéijen.
Probleemer goufen an der Ëmsetzung vum Kanalprediktiounsmechanismus (Wee-prediktor) an der CPU's éischten Niveau Datekache (L1D) identifizéiert, benotzt fir virauszesoen, wéi ee Cache-Kanal eng gewësse Erënnerungsadress enthält. D'Optimiséierung déi an AMD Prozessoren benotzt gëtt baséiert op Iwwerpréiwung vun μ-Tags (μTag). μTag gëtt berechent andeems Dir eng spezifesch Hashfunktioun op déi virtuell Adress applizéiert. Wärend der Operatioun benotzt de Kanalprediktiounsmotor μTag fir de Cache-Kanal aus dem Dësch ze bestëmmen. Also, μTag erlaabt de Prozessor selwer ze limitéieren op Zougang zu engem spezifesche Kanal, ouni duerch all Optiounen ze sichen, wat d'CPU Energieverbrauch wesentlech reduzéiert.
Wärend der Reverse Engineering vun der Implementatioun vum Kanalprediktiounssystem a verschiddene Generatiounen vun AMD Prozessoren, déi vun 2011 bis 2019 verëffentlecht goufen, goufen zwee nei Säit-Kanal Attack Techniken identifizéiert:
- Collide + Sonde - erlaabt en Ugräifer Erënnerung Zougang fir Prozesser déi op der selwechter logesch CPU Kär lafen. D'Essenz vun der Method ass virtuell Adressen ze benotzen déi Kollisiounen an der Hashfunktioun verursaachen, déi benotzt gëtt fir μTag ze berechnen fir den Erënnerungszougang ze verfolgen. Am Géigesaz zu de Flush + Reload an Prime + Probe Attacke benotzt op Intel Prozessoren, benotzt Collide + Probe keng gemeinsam Erënnerung a funktionnéiert ouni Wëssen iwwer kierperlech Adressen.
- Luet + Reload - erlaabt Iech ganz präziist Erënnerung Zougang Spure op déi selwecht kierperlech CPU Kär ze bestëmmen. D'Method baséiert op der Tatsaach datt eng kierperlech Erënnerungszell nëmmen eemol am L1D Cache ka sinn. Déi. Zougang zu der selweschter Erënnerungszell op enger anerer virtueller Adress wäert d'Zell aus dem L1D Cache evictéieren, sou datt d'Erënnerungszougang verfolgt gëtt. Och wann d'Attack op de gemeinsame Gedächtnis hänkt, spült se net Cachelinnen, wat et erlaabt Stealthattacken déi Daten net aus dem leschte Niveau Cache evictéieren.
Baséierend op Collide + Sonde a Load + Reload Techniken, hunn d'Fuerscher e puer Side-Channel Attack Szenarie bewisen:
- D'Méiglechkeet fir Methoden ze benotzen fir e verstoppte indirekten Kommunikatiounskanal tëscht zwee Prozesser z'organiséieren, déi Datentransfer mat Geschwindegkeete vu bis zu 588 kB pro Sekonn erlaben.
- Mat Hëllef vun Kollisiounen am μTag war et méiglech Entropie fir verschidde Varianten vun ASLR (Adress Space Layout Randomization) ze reduzéieren an den ASLR Schutz am Kärel op engem komplett aktualiséierten Linux System ëmzegoen. D'Méiglechkeet fir en Attack auszeféieren fir d'ASLR-Entropie souwuel vu Benotzerapplikatiounen ze reduzéieren wéi och JavaScript Code benotzt, deen an engem Sandbox Ëmfeld ausgeführt gëtt a Code an engem anere Gaaschtëmfeld leeft, gëtt gewisen.
- Baséierend op der Collide+Probe Method gouf en Attack ëmgesat fir de Verschlësselungsschlëssel vun enger vulnerabeler Implementatioun ze recuperéieren (baséiert op ) AES Verschlësselung.
- Andeems Dir d'Collide + Probe Method als Datenacquisitiounskanal benotzt, konnt de Spectre Attack privat Daten aus dem Kernel extrahéieren ouni e gemeinsame Gedächtnis ze benotzen.
D'Schwachheet geschitt op AMD Prozessoren baséiert op Mikroarchitekturen
Bulldozer, Piledriver, Steamroller, Zen (Ryzen, Epic), Zen+ and Zen2.
AMD gouf den 23. August 2019 iwwer dëst Thema informéiert, awer bis elo mat Informatioun iwwer d'Blockéierung vun der Schwachstelle. Laut de Fuerscher kann de Problem um Mikrocode-Aktualiséierungsniveau blockéiert ginn andeems se MSR Bits zur Verfügung stellen fir de Kanalprediktiounssystem selektiv auszeschalten, ähnlech wéi dat wat Intel gemaach huet fir d'Desaktivéierung vu Brancheprediktiounsmechanismen ze kontrolléieren.
Source: opennet.ru