En gruppe forskere fra det tekniske universitetet i Graz (Østerrike) og Helmholtz Center for Information Security (CISPA), () en ny vektor for bruk av sidekanalangrep (L1TF), som lar deg trekke ut data fra minnet til Intel SGX-enklaver, SMM (System Management Mode), minneområder i OS-kjernen og virtuelle maskiner i virtualiseringssystemer. I motsetning til det opprinnelige angrepet som ble foreslått i 2018 Den nye varianten er ikke spesifikk for Intel-prosessorer og påvirker CPUer fra andre produsenter som ARM, IBM og AMD. I tillegg krever ikke den nye varianten høy ytelse og angrepet kan utføres selv ved å kjøre JavaScript og WebAssembly i en nettleser.
Foreshadow-angrepet drar nytte av det faktum at når minne aksesseres på en virtuell adresse som resulterer i et unntak (terminalsidefeil), beregner prosessoren spekulativt den fysiske adressen og laster dataene hvis de er tilgjengelige i L1-cachen. Spekulativ tilgang utføres før minnesidetabellsøket er fullført og uavhengig av tilstanden til minnesidetabelloppføringen (PTE), dvs. før du sjekker tilstedeværelsen av data i fysisk minne og lesbarheten. Etter at minnetilgjengelighetskontrollen er fullført, i fravær av Present-flagget i PTE, blir operasjonen forkastet, men dataene forblir i hurtigbufferen og kan hentes ved hjelp av metoder for å bestemme cache-innhold gjennom sidekanaler (ved å analysere endringer i tilgangstid til bufrede og ubufrede data).
Forskere har vist at eksisterende metoder for beskyttelse mot Foreshadow er ineffektive og implementeres med en feilaktig tolkning av problemet. Sårbarhet
Foreshadow kan utnyttes uavhengig av kjernesikkerhetsmekanismene som tidligere ble ansett som tilstrekkelige. Som et resultat demonstrerte forskerne muligheten for å utføre et Foreshadow-angrep på systemer med relativt gamle kjerner, der alle tilgjengelige Foreshadow-beskyttelsesmoduser er aktivert, samt med nye kjerner, der kun Specter-v2-beskyttelse er deaktivert (ved å bruke Linux-kjernealternativet nospectre_v2).
Det ble funnet at ikke relatert til instruksjoner for forhåndshenting av programvare eller maskinvareeffekt
forhåndshenting under minnetilgang, men oppstår når spekulative referanser av brukerplass registrerer i kjernen. Denne feiltolkningen av årsaken til sårbarheten førte i utgangspunktet til antakelsen om at datalekkasje i Foreshadow bare kunne skje gjennom L1-cachen, mens tilstedeværelsen av visse kodebiter (prefetch-gadgets) i kjernen kunne bidra til datalekkasje utenfor L1-cachen, for eksempel i L3-cache.
Den identifiserte funksjonen åpner også for muligheten for å lage nye angrep rettet mot prosessene med å oversette virtuelle adresser til fysiske i isolerte miljøer og bestemme adresser og data lagret i CPU-registre. Som en demonstrasjon viste forskerne muligheten for å bruke den identifiserte effekten til å trekke ut data fra en prosess til en annen med en ytelse på rundt 10 bits per sekund på et system med en Intel Core i7-6500U CPU. Muligheten for å lekke registerinnhold fra Intel SGX-enklaven vises også (det tok 32 minutter å bestemme en 64-bits verdi skrevet til et 15-bits register). Noen typer angrep viste seg å være mulig å implementere i JavaScript og WebAssembly, for eksempel var det mulig å bestemme den fysiske adressen til en JavaScript-variabel og fylle 64-bits registre med en verdi kontrollert av angriperen.
For å blokkere Foreshadow-angrepet gjennom L3-cachen, er beskyttelsesmetoden Spectre-BTB (Branch Target Buffer) implementert i retpoline-patchsettet effektiv. Dermed mener forskerne at det er nødvendig å la retpoline være aktivert selv på systemer med nye CPUer som allerede har beskyttelse mot kjente sårbarheter i den spekulative CPU-utførelsesmekanismen. Samtidig uttalte Intel-representanter at de ikke planlegger å legge til ytterligere beskyttelsestiltak mot Foreshadow til prosessorer og anser det som tilstrekkelig å inkludere beskyttelse mot Spectre V2 og L1TF (Foreshadow) angrep.
Kilde: opennet.ru