Isang grupo ng mga mananaliksik mula sa Technical University of Graz (Austria) at sa Helmholtz Center for Information Security (CISPA), () isang bagong vector para sa paggamit ng mga pag-atake sa side-channel (L1TF), na nagbibigay-daan sa iyo na mag-extract ng data mula sa memorya ng Intel SGX enclaves, SMM (System Management Mode), memory area ng OS kernel at virtual machine sa virtualization system. Hindi tulad ng orihinal na pag-atake na iminungkahi noong 2018 Ang bagong variant ay hindi partikular sa mga processor ng Intel at nakakaapekto sa mga CPU mula sa iba pang mga tagagawa tulad ng ARM, IBM at AMD. Bilang karagdagan, ang bagong variant ay hindi nangangailangan ng mataas na pagganap at ang pag-atake ay maaaring isagawa kahit na sa pamamagitan ng pagpapatakbo ng JavaScript at WebAssembly sa isang web browser.
Sinasamantala ng Foreshadow attack ang katotohanan na kapag ang memorya ay na-access sa isang virtual na address na nagreresulta sa isang exception (terminal page fault), ang processor ay speculatively na kinakalkula ang pisikal na address at naglo-load ng data kung ito ay available sa L1 cache. Isinasagawa ang speculative access bago makumpleto ang paghahanap sa talahanayan ng pahina ng memorya at anuman ang estado ng entry ng talahanayan ng pahina ng memorya (PTE), i.e. bago suriin ang pagkakaroon ng data sa pisikal na memorya at ang pagiging madaling mabasa nito. Matapos makumpleto ang pagsusuri sa availability ng memorya, sa kawalan ng Present flag sa PTE, ang operasyon ay itatapon, ngunit ang data ay nananatili sa cache at maaaring makuha gamit ang mga pamamaraan para sa pagtukoy ng mga nilalaman ng cache sa pamamagitan ng mga side channel (sa pamamagitan ng pagsusuri sa mga pagbabago sa oras ng pag-access sa naka-cache at hindi naka-cache na data).
Ipinakita ng mga mananaliksik na ang mga umiiral na pamamaraan ng proteksyon laban sa Foreshadow ay hindi epektibo at ipinatupad nang may maling interpretasyon ng problema. kahinaan
Maaaring samantalahin ang foreshadow anuman ang mga mekanismo ng seguridad ng kernel na dating itinuturing na sapat. Bilang resulta, ipinakita ng mga mananaliksik ang posibilidad na magsagawa ng pag-atake ng Foreshadow sa mga system na may medyo lumang mga kernel, kung saan lahat ng magagamit na Foreshadow protection mode ay pinagana, pati na rin sa mga bagong kernel, kung saan tanging ang proteksyon ng Specter-v2 ang hindi pinagana (gamit ang ang Linux kernel na opsyon nospectre_v2).
Ito ay natagpuan na hindi nauugnay sa mga tagubilin sa prefetch ng software o epekto ng hardware
prefetch sa panahon ng pag-access sa memorya, ngunit nangyayari kapag ang mga speculative dereferences ng user space ay nagrerehistro sa kernel. Ang maling interpretasyong ito sa sanhi ng kahinaan sa simula ay humantong sa pagpapalagay na ang data leakage sa Foreshadow ay maaari lamang mangyari sa pamamagitan ng L1 cache, habang ang pagkakaroon ng ilang partikular na code snippet (prefetch gadgets) sa kernel ay maaaring mag-ambag sa data leakage sa labas ng L1 cache, halimbawa, sa L3 cache.
Ang natukoy na tampok ay nagbubukas din ng posibilidad ng paglikha ng mga bagong pag-atake na naglalayong sa mga proseso ng pagsasalin ng mga virtual na address sa mga pisikal sa mga nakahiwalay na kapaligiran at pagtukoy ng mga address at data na nakaimbak sa mga rehistro ng CPU. Bilang isang pagpapakita, ipinakita ng mga mananaliksik ang posibilidad na gamitin ang natukoy na epekto upang kunin ang data mula sa isang proseso patungo sa isa pa na may pagganap na humigit-kumulang 10 bits bawat segundo sa isang system na may Intel Core i7-6500U CPU. Ang posibilidad ng pagtagas ng mga nilalaman ng rehistro mula sa Intel SGX enclave ay ipinapakita din (nagtagal ng 32 minuto upang matukoy ang isang 64-bit na halaga na nakasulat sa isang 15-bit na rehistro). Ang ilang uri ng pag-atake ay naging posible na ipatupad sa JavaScript at WebAssembly, halimbawa, posibleng matukoy ang pisikal na address ng variable ng JavaScript at punan ang mga 64-bit na rehistro ng isang halaga na kinokontrol ng umaatake.
Upang harangan ang pag-atake ng Foreshadow sa pamamagitan ng L3 cache, ang paraan ng proteksyon ng Spectre-BTB (Branch Target Buffer) na ipinatupad sa set ng retpoline patch ay epektibo. Kaya, naniniwala ang mga mananaliksik na kinakailangang iwanang naka-enable ang retpoline kahit na sa mga system na may mga bagong CPU na mayroon nang proteksyon laban sa mga kilalang kahinaan sa mekanismo ng speculative execution ng CPU. Kasabay nito, sinabi ng mga kinatawan ng Intel na hindi nila planong magdagdag ng mga karagdagang hakbang sa proteksyon laban sa Foreshadow sa mga processor at isaalang-alang na sapat na ito upang isama ang proteksyon laban sa mga pag-atake ng Spectre V2 at L1TF (Foreshadow).
Pinagmulan: opennet.ru