Информация относно нов клас атаки ОВК в механизма спекулативно изпълнение, засягащо Intel, който може да се използва за извличане на ключове и чувствителни данни от анклави Intel SGX и други процеси.
Новият клас атаки се основава на манипулации със същите микроархитектурни структури като при MDS, Spectre и Meltdown атаките. По същото време, новите атаки не се блокират от съществуващите методи защита срещу Meltdown, Spectre, MDS и други подобни атаки.
За LVI
Проблемът е идентифициран през април миналата година от изследователя Джо Ван Бълк от университета в Льовен, след което с участието на 9 изследователи от други университети, бяха разработени пет основни метода за атака, всеки от които дава възможност за по-конкретни опции.
Както и да е, през февруари тази година, Изследователите на Bitdefender също откриха една от опциите за атака LVI и го докладва на Intel.
Опциите за атака се отличават с използването на различни микроархитектурни структури, като Store Buffer (SB, Store Buffer), Fill Buffer (LFB, Line Fill Buffer), FPU Context Switch Buffer и кеш от първо ниво (L1D), използвани преди това при атаки като ZombieLoad, RIDL, Fallout, LazyFP, Foreshadow и Топене.
Основната разлика между Нападам гиs LVI и MDS е, че MDS манипулира определянето на съдържанието на микроархитектурни структури, които остават в кеша след спекулативна обработка на грешки или операции по зареждане и съхранение, докато Атаките LVI позволяват на нападателя да бъде заместен в микроархитектурни структури да повлияе на последващото спекулативно изпълнение на кода на жертвата.
Използвайки тези манипулации, нападателят може да извлече съдържанието на затворени структури от данни в други процеси, докато изпълнява определен код в ядрото на целевия процесор.
За експлоатация трябва да се открият проблеми в кода на процеса и изпраща специални кодови последователности (приспособления), в които контролираната от атакуващия стойност се зарежда и зареждането на тази стойност причинява изключения, които отхвърлят резултата и повторно изпълняват инструкцията.
При обработка на изключение се появява спекулативен прозорец, през който данните, обработени в притурката, се филтрират.
По-специално процесорът започва спекулативно да изпълнява парче код (притурка), след това определя, че прогнозата не е оправдана и обръща операциите, но обработените данни По време на спекулативно изпълнение се депозират в L1D кеша и буферите микроархитектурни данни и могат да бъдат извлечени от тях с помощта на известни методи за определяне на остатъчни данни от канали на трети страни.
Основната трудност да атакува други процеси иs как да започнете помощ чрез манипулиране на процеса на жертва.
Понастоящем няма надеждни начини да направите това, но в бъдеще неговото откритие не е изключено. Досега възможността за атака е потвърдена само за анклавите Intel SGX, други сценарии са теоретични или възпроизводими при синтетични условия.
Възможни вектори на атака
- Изтичането на данни от структурите на ядрото към процеса на ниво потребител. Защита на ядрото на Linux срещу атаките на Spectre 1 и механизма за защита на SMAP (Supervisor Mode Prevention) значително намаляват вероятността от LVI атака. Въвеждането на допълнителна защита на ядрото може да се наложи при идентифициране на по-прости методи за извършване на LVI атака в бъдеще.
- Изтичане на данни между различни процеси. Атаката изисква наличието на определени кодови фрагменти в приложението и определянето на метода за създаване на изключение в целевия процес.
- Изтичане на данни от хост средата към системата за гости. Атаката е класифицирана като твърде сложна, изискваща изпълнение на няколко трудно изпълними стъпки и прогнози за активност в системата.
- Изтичане на данни между процеси в различни системи за гости. Векторът на атаката е близо до организиране на изтичане на данни между различни процеси, но също така изисква сложни манипулации, за да се избегне изолация между гост-системи.
За да се осигури ефективна защита срещу LVI, се изискват хардуерни промени на процесора. Чрез програмна организация на защитата, добавянето на компилаторния оператор LFENCE след всяка операция по зареждане от паметта и замяната на оператора RET с POP, LFENCE и JMP, поправя твърде много режийни разходи; Според изследователите цялостната софтуерна защита ще доведе до влошаване на производителността от 2 до 19 пъти.
Fuente: https://www.intel.com