Een groep onderzoekers van de Technische Universiteit Graz (Oostenrijk) en het Helmholtz Centrum voor Informatiebeveiliging (CISPA), () nieuwe toepassingsvector van zijkanaalaanvallen (L1TF), waarmee gegevens kunnen worden geëxtraheerd uit het geheugen van Intel SGX-enclaves, SMM (System Management Mode), geheugengebieden van de OS-kernel en virtuele machines in virtualisatiesystemen. In tegenstelling tot de oorspronkelijke aanval die in 2018 werd voorgesteld De nieuwe variant is niet specifiek voor Intel-processors en treft CPU's van andere fabrikanten, zoals ARM, IBM en AMD. Bovendien vereist de nieuwe variant geen hoge prestaties en kan de aanval zelfs worden uitgevoerd door JavaScript en WebAssembly in een webbrowser te draaien.
De Foreshadow-aanval maakt gebruik van het feit dat bij toegang tot geheugen op een virtueel adres dat resulteert in een uitzondering (terminal page fault), de processor speculatief het fysieke adres berekent en de gegevens laadt indien deze zich in de L1-cache bevinden. Speculatieve toegang wordt uitgevoerd vóór de voltooiing van de geheugenpaginatabel-enumeratie en ongeacht de status van het item in de geheugenpaginatabel (PTE), d.w.z. vóór de controle op de aanwezigheid van gegevens in het fysieke geheugen en de beschikbaarheid ervan voor lezen. Als na voltooiing van de geheugenbeschikbaarheidscontrole de vlag 'Present' ontbreekt in de PTE, wordt de bewerking verwijderd. De gegevens worden echter wel in de cache opgeslagen en kunnen worden opgehaald met behulp van methoden om de cache-inhoud via zijkanalen te bepalen (door de verandering in toegangstijd tot gecachte en niet-gecachte gegevens te analyseren).
Onderzoekers hebben aangetoond dat bestaande methoden ter bescherming tegen Foreshadow ineffectief zijn en worden geïmplementeerd met een onjuiste interpretatie van het probleem.
Foreshadow может быть эксплуатирована независимо от применения в ядре механизмов защиты, которые ранее считались достаточными. В итоге исследователями была продемонстрирована возможность совершения атаки Foreshadow в системах с относительно старыми ядрами, в которых включены все имеющиеся режимы защиты от Foreshadow, а также с новыми ядрами, в которых отключена только защита от Spectre-v2 (используется опция ядра Linux nospectre_v2).
Er is geconstateerd dat niet gerelateerd aan software prefetch-instructies of hardware-effect
Prefetching vindt plaats tijdens geheugentoegang, maar vindt plaats tijdens speculatieve dereferencering van gebruikersregisters in de kernel. Deze verkeerde interpretatie van de oorzaak van de kwetsbaarheid leidde aanvankelijk tot de aanname dat datalekken in Foreshadow alleen via de L1-cache konden plaatsvinden, terwijl de aanwezigheid van bepaalde codefragmenten (prefetchgadgets) in de kernel datalekken buiten de L1-cache, bijvoorbeeld naar de L3-cache, zou kunnen vergemakkelijken.
De geïdentificeerde functie opent ook mogelijkheden voor nieuwe aanvallen gericht op de processen van het vertalen van virtuele adressen naar fysieke adressen in geïsoleerde omgevingen en het bepalen van de adressen en gegevens die zijn opgeslagen in CPU-registers. Als demonstraties toonden de onderzoekers de mogelijkheid om het geïdentificeerde effect te gebruiken om gegevens van het ene proces naar het andere te extraheren met een snelheid van ongeveer 10 bits per seconde op een systeem met een Intel Core i7-6500U CPU. De mogelijkheid van het lekken van registerinhoud uit de Intel SGX-enclave werd ook aangetoond (het duurde 32 minuten om een 64-bits waarde te bepalen die naar een 15-bits register werd geschreven). Sommige soorten aanvallen waren mogelijk te implementeren in JavaScript en WebAssembly. Zo was het bijvoorbeeld mogelijk om het fysieke adres van een JavaScript-variabele te bepalen en 64-bits registers te vullen met een door de aanvaller gecontroleerde waarde.
De Spectre-BTB (Branch Target Buffer)-beschermingsmethode die in de retpoline-patchset is geïmplementeerd, is effectief in het blokkeren van de Foreshadow-aanval via de L3-cache. De onderzoekers achten het daarom noodzakelijk om retpoline ingeschakeld te laten, zelfs op systemen met nieuwe CPU's die al bescherming bieden tegen bekende kwetsbaarheden in het speculatieve uitvoeringsmechanisme van CPU-instructies. Tegelijkertijd gaven vertegenwoordigers van Intel aan dat ze geen plannen hebben om extra beschermingsmaatregelen tegen Foreshadow aan de processoren toe te voegen en dat ze deze voldoende achten om bescherming te bieden tegen Spectre V2- en L1TF (Foreshadow)-aanvallen.
Bron: opennet.ru
