L1DES (CacheOut) နှင့် VRS - Intel CPU များ၏ သေးငယ်သော ဗိသုကာတည်ဆောက်ပုံများတွင် အားနည်းချက်အသစ်များ

Intel အဝတ်မခြုံဘဲ L1D cache မှ ဒေတာပေါက်ကြားမှုကြောင့် ဖြစ်ပေါ်လာသော Intel CPU များတွင် အားနည်းချက်အသစ်နှစ်ခုအကြောင်း အချက်အလက် (CVE-2020-0549၊ L1DES - L1D Eviction Sampling) နှင့် vector registers (CVE-2020-0548, VRS - Vector Register Sampling)။ အားနည်းချက်များသည် အတန်းပိုင်ဖြစ်သည်။ MDS (Microarchitectural Data Sampling) နှင့် microarchitectural structures များတွင် data များကို side-channel ခွဲခြမ်းစိတ်ဖြာခြင်းနည်းလမ်းများကို အသုံးပြုမှုအပေါ် အခြေခံထားသည်။ AMD၊ ARM နှင့် အခြားသော ပရိုဆက်ဆာများသည် ပြဿနာများကြောင့် ထိခိုက်မှုမရှိပါ။

အကြီးမားဆုံးအန္တရာယ်မှာ L1DES အားနည်းချက်ဖြစ်သည်။ ခွင့်ပြု ဤအဆင့်တွင် ဗလာဖြစ်သင့်သည့် Fill Buffer ရှိ ပထမအဆင့် ကက်ရှ် (L1D) မှ ဖယ်ရှားထားသော ကက်ရှ်ဒေတာ (ကက်ရှ်လိုင်း) တုံးများကို ဖြေရှင်းခြင်း။ ဖြည့်စွက်ကြားခံတွင် အခြေချထားသည့် ဒေတာကို ဆုံးဖြတ်ရန်၊ တိုက်ခိုက်မှုများတွင် ယခင်က အဆိုပြုထားသော ဘေးထွက်ချန်နယ်ခွဲခြမ်းစိတ်ဖြာမှုနည်းလမ်းများကို အသုံးပြုနိုင်သည်။ MDS (Microarchitectural Data Sampling) နှင့် TAA (Transactional Asynchronous Abortion)။ အနှစ်သာရအားဖြင့် ယခင်က အကောင်အထည်ဖော် ဆောင်ရွက်ခဲ့သော အကာအကွယ်များ ဖြစ်သည်။
အကြောင်းအရာမပြောင်းမီတွင် MDS နှင့် TAA သည် microarchitectural buffers များကို ဖယ်ရှားခြင်းတွင်၊ သို့သော် အချို့သောအခြေအနေများတွင် data သည် flush လည်ပတ်ပြီးနောက် buffers များအဖြစ်သို့ ကူးပြောင်းသွားသည်၊ ထို့ကြောင့် MDS နှင့် TAA နည်းလမ်းများသည် ဆက်လက်အသုံးပြုနိုင်ပါသည်။

ရလဒ်အနေဖြင့်၊ တိုက်ခိုက်သူသည် ယခင်က လက်ရှိ CPU core ကို သိမ်းပိုက်ထားသော အက်ပလီကေးရှင်းတစ်ခုအား လုပ်ဆောင်စဉ်အတွင်း ပြောင်းလဲခဲ့သော ပထမအဆင့် ကက်ရှ်မှ ဖယ်ရှားလိုက်သော ဒေတာကို ရှာဖွေတွေ့ရှိနိုင်သည် သို့မဟုတ် တူညီသော CPU ပေါ်ရှိ အခြားသော ယုတ္တိအကြောင်းအရာများ (hyperthread) တွင် အပြိုင်လုပ်ဆောင်နေသည့် အပလီကေးရှင်းများ core (HyperThreading ကိုပိတ်ထားခြင်းသည် တိုက်ခိုက်မှုထိရောက်မှုကို လျော့နည်းစေသည်)။ တိုက်ခိုက်မှုနဲ့ မတူဘူး။ L1TF၊L1DES သည် စစ်ဆေးရန်အတွက် တိကျသော ရုပ်ပိုင်းဆိုင်ရာ၊ လိပ်စာများကို ရွေးချယ်ခွင့်မပြုသော်လည်း ၎င်းသည် မှတ်ဉာဏ်ထဲသို့ တန်ဖိုးများကို တင်ခြင်း သို့မဟုတ် သိမ်းဆည်းခြင်းနှင့် ဆက်စပ်နေသည့် အခြားသော ယုတ္တိရှိသော လိုင်းများတွင် လှုပ်ရှားမှုများကို ခိုင်းစေခြင်းတို့ကို ပေးစွမ်းနိုင်သည်။

L1DES ကိုအခြေခံ၍ အမျိုးမျိုးသော သုတေသနအဖွဲ့များသည် အခြားသော လုပ်ငန်းစဉ်များ၊ လည်ပတ်မှုစနစ်၊ virtual machines နှင့် ကာကွယ်ထားသော SGX enclaves များမှ အရေးကြီးသော အချက်အလက်များကို ထုတ်ယူနိုင်သည့် တိုက်ခိုက်မှုမျိုးကွဲများစွာကို တီထွင်ထုတ်လုပ်ထားပါသည်။

• VUSec အဖွဲ့ အဆင်ပြေအောင် L1DES အားနည်းချက်အတွက် RIDL တိုက်ခိုက်မှုနည်းလမ်း။ ရရှိနိုင်ပါသည်။ exploit နမူနာပုံစံ၎င်းသည် kernel မှအသုံးပြုသူနေရာသို့ပြန်လာသည့်အခါ သို့မဟုတ် ဧည့်သည်စနစ်သို့ထိန်းချုပ်မှုလွှဲပြောင်းသည့်အခါ သို့မဟုတ် VERW ( microarchitectural ကိုရှင်းလင်းရန် VERW (သုတေသီများသည် VERW (မိုက်ခရိုဗိသုကာကိုရှင်းလင်းခြင်း) ကိုရှင်းလင်းရန် အစပိုင်းတွင် သုတေသီများက VERW ကိုအသုံးပြုခြင်းအပေါ်အခြေခံ၍ Intel ၏အဆိုပြုထားသော MDS အကာအကွယ်နည်းလမ်းကိုအသုံးပြုခြင်းအပေါ်အခြေခံသည်) အကာအကွယ်အတွက် buffers) မလုံလောက်သဖြင့် context switch တစ်ခုစီရှိ L1 cache ၏ ပြီးပြည့်စုံသော flush လိုအပ်ပါသည်။)
• အဖွဲ့ ZombieLoad အပ်ဒိတ်လုပ်ပါ။ တိုက်ခိုက်မှုနည်းလမ်း L1DES အားနည်းချက်ကို ထည့်သွင်းစဉ်းစားသည်။
• မစ်ရှီဂန်တက္ကသိုလ်မှ သုတေသီများသည် ၎င်းတို့၏ တိုက်ခိုက်ရေးနည်းလမ်းကို တီထွင်ခဲ့ကြသည်။ Cache Out (PDF ဖိုင်ရယူရန်) သည် သင့်အား လည်ပတ်မှုစနစ် kernel၊ virtual machines နှင့် ကာကွယ်ထားသော SGX enclaves များမှ လျှို့ဝှက်အချက်အလက်များကို ထုတ်ယူနိုင်စေပါသည်။ နည်းလမ်းကို အခြေခံထားပါတယ်။ ခြယ်လှယ်သည်။ L1D ကက်ရှ်မှ ဒေတာပေါက်ကြားပြီးနောက် ဖြည့်စွက်ကြားခံ၏ အကြောင်းအရာများကို ဆုံးဖြတ်ရန် လုပ်ဆောင်ချက်များကို အညီအမျှ အနှောင့်အယှက်ဖြစ်စေသည့် ယန္တရားတစ်ခု (TAA, TSX Asynchronous Abort)။
  

ဒုတိယ VRS (Vector Register Sampling) အားနည်းချက် ချည်ထားသည်။ တူညီသော CPU core ပေါ်တွင် vector ညွှန်ကြားချက်များ (SSE, AVX, AVX-512) ကိုလုပ်ဆောင်နေစဉ်အတွင်း vector registers များမှ ဖတ်ရှုခြင်းဆိုင်ရာ လုပ်ဆောင်ချက်များ၏ ရလဒ်များ၏ သိုလှောင်မှုကြားခံ (Store Buffer) သို့ ယိုစိမ့်သွားပါသည်။ ယိုစိမ့်မှုမှာ အလွန်ရှားပါးသော အခြေအနေတစ်ခုအောက်တွင် ဖြစ်ပေါ်ပြီး သိုလှောင်မှုကြားခံအတွင်း ဗက်တာမှတ်ပုံတင်များ၏ အခြေအနေကို ထင်ဟပ်စေသည့် မှန်းဆထားသည့် လုပ်ဆောင်ချက်ကြောင့် နှောင့်နှေးကာ ကြားခံကို ရှင်းလင်းပြီးနောက် ပြီးမြောက်သည်ဟူသောအချက်ကြောင့် ထွက်ပေါ်လာခြင်းဖြစ်သည်။ L1DES အားနည်းချက်နှင့် ဆင်တူသည်၊ ထို့နောက် သိုလှောင်မှုကြားခံ၏ အကြောင်းအရာများကို MDS နှင့် TAA တိုက်ခိုက်မှုနည်းပညာများကို အသုံးပြု၍ ဆုံးဖြတ်နိုင်သည်။

VUSec အဖွဲ့မှ သုတေသီများ ပြင်ဆင် exploit နမူနာပုံစံ၎င်းသည် တူညီသော CPU core ၏ အခြားသော logical thread တွင် တွက်ချက်မှုများကြောင့် ရရှိသော vector register များ၏ တန်ဖိုးများကို ဆုံးဖြတ်နိုင်စေပါသည်။ Intel ကုမ္ပဏီ တန်ဖိုးထား VRS အားနည်းချက်သည် အစစ်အမှန်တိုက်ခိုက်မှုများကို လုပ်ဆောင်ရန် ရှုပ်ထွေးလွန်းသည်ဟု ယူဆရပြီး ပြင်းထန်မှု အနည်းဆုံးအဆင့် (2.8 CVSS) ကို သတ်မှတ်ပေးထားသည်။

အဆိုပါပြဿနာများကို Graz (ဩစတြီးယား) နည်းပညာတက္ကသိုလ်မှ Zombieload အဖွဲ့နှင့် Free University of Amsterdam မှ VUSec အဖွဲ့တို့က Intel သို့ အစီရင်ခံခဲ့ပြီး အားနည်းချက်များကို အခြားသော MDS တိုက်ခိုက်မှု vector များကို ခွဲခြမ်းစိတ်ဖြာပြီးနောက် အခြားသောသုတေသီများက နောက်ပိုင်းတွင် အားနည်းချက်များကို အတည်ပြုခဲ့သည်။ ပထမ MDS အစီရင်ခံစာတွင် ပြုပြင်မှုမရှိခြင်းကြောင့် L2019DES နှင့် VRS ပြဿနာများအကြောင်း အချက်အလက်မပါဝင်ပါ။ ပြင်ဆင်မှုကို ယခုမရနိုင်သော်လည်း သဘောတူညီထားသည့် ထုတ်ဖော်မှုမဟုတ်သည့်ကာလ ကုန်ဆုံးသွားပါပြီ။
ဖြေရှင်းနည်းအနေဖြင့် HyperThreading ကို ပိတ်ရန် အကြံပြုထားသည်။ kernel ဘက်မှ အားနည်းချက်ကို ပိတ်ဆို့ရန်၊ context switch တစ်ခုစီတွင် L1 cache ကို ပြန်လည်သတ်မှတ်ရန် (MSR bit MSR_IA32_FLUSH_CMD) နှင့် TSX extension (MSR bits MSR_IA32_TSX_CTRL နှင့် MSR_TSX_FORCE_ABORT) ကို ပိတ်ရန် အဆိုပြုပါသည်။

Intel က ကတိများ မဝေးတော့သောအနာဂတ်တွင်ပြဿနာများကိုပိတ်ဆို့ရန်ယန္တရားများကိုအကောင်အထည်ဖော်ခြင်းဖြင့် microcode အပ်ဒိတ်ကိုထုတ်ပြန်ပါ။ Intel သည် 2018 ခုနှစ်တွင် အဆိုပြုထားသော တိုက်ခိုက်မှုကာကွယ်ရေးနည်းလမ်းများကို အသုံးပြုကြောင်းလည်း မှတ်သားထားသည်။ L1TF (L1 Terminal Fault) သည် သင့်အား virtual ပတ်၀န်းကျင်များမှ L1DES အားနည်းချက်၏ အသုံးချမှုကို ပိတ်ဆို့ရန် ခွင့်ပြုသည်။ တိုက်ခိုက်မှု ဘာသာရပ် ဆဌမမျိုးဆက်မှစတင်သော Intel Core ပရိုဆက်ဆာများ (Sky, Kaby, Coffee, Whisky, Amber Lake, etc.) နှင့် Intel Xeon နှင့် Xeon Scalable မော်ဒယ်အချို့။

ထို့အပြင်၎င်းကိုမှတ်သားနိုင်သည်။ တိုးတက်မှု အမြတ်ထုတ်သည်။တိုက်ခိုက်ရေးနည်းလမ်းများကို အသုံးပြုခွင့်ပေးသည်။ RIDL အချိန်အခါအလိုက် အထောက်အထားစိစစ်ခြင်း ကြိုးပမ်းမှုများအတွင်း /etc/shadow မှ root စကားဝှက် hash ၏ အကြောင်းအရာများကို ဆုံးဖြတ်ရန်။ မူလကအဆိုပြုထားသော exploit သည် စကားဝှက်ကို hash in ဟုဆုံးဖြတ်လိုက်သည်။ 24 နာရီနှင့် asynchronous interruption ယန္တရား (TAA, TSX Asynchronous Abort) ၏ လည်ပတ်မှုအတွင်း ယိုစိမ့်မှုကို အသုံးချပြီးနောက် အလားတူလုပ်ဆောင်ချက်ကို လုပ်ဆောင်ခဲ့သည်၊ 36 စက္ကန့်ထို့နောက် မူကွဲအသစ်သည် 4 စက္ကန့်အတွင်း တိုက်ခိုက်မှုတစ်ခု ပြုလုပ်သည်။

source: opennet.ru