Tietoa uusi hyökkäysluokka LVI mekanismissa spekulatiivinen toteutus, joka vaikuttaa Inteliin, jota voidaan käyttää avainten ja arkaluontoisten tietojen johtamiseen Intel SGX -anklaveista ja muista prosesseista.
Uusi hyökkäysluokka perustuu manipulaatioihin samoilla mikroarkkitehtuurirakenteilla kuin MDS-, Spectre- ja Meltdown-hyökkäyksissä. Samaan aikaan, uusia hyökkäyksiä ei estetä nykyisillä menetelmillä suojaus Meltdown-, Spectre-, MDS- ja muita vastaavia hyökkäyksiä vastaan.
Tietoja LVI: stä
Ongelma tutkija Jo Van Bulck tunnisti viime vuoden huhtikuussa Leuvenin yliopistosta, jonka jälkeen, johon osallistui 9 tutkijaa muista yliopistoista, kehitettiin viisi perushyökkäystapaa, joista kukin sallii tarkemmat vaihtoehdot.
Joka tapauksessa tämän vuoden helmikuussa Bitdefender-tutkijat löysivät myös yhden hyökkäysvaihtoehdoista LVI ja ilmoitti siitä Intelille.
Hyökkäysvaihtoehdot erotetaan käyttämällä erilaisia mikroarkkitehtuurirakenteita, kuten Store Buffer (SB, Store Buffer), Fill Buffer (LFB, Line Fill Buffer), FPU Context Switch Buffer ja First Level Cache (L1D), joita on aiemmin käytetty hyökkäyksissä, kuten ZombieLoad, RIDL, Fallout, LazyFP, Foreshadow ja Sulaminen.
Tärkein ero välillä Hyökkään heitä vastaans LVI ja MDS ovat, että MDS manipuloi sisällön määritystä mikroarkkitehtuurirakenteista, jotka jäävät välimuistiin spekulatiivisen virhekäsittelyn tai lataus- ja varastotoimintojen jälkeen kun taas Hyökkäykset LVI sallii hyökkääjän korvaamisen mikroarkkitehtuurirakenteissa vaikuttaa uhrin koodin myöhempään spekulatiiviseen toimeenpanoon.
Näitä manipulaatioita käyttämällä hyökkääjä voi poimia suljettujen tietorakenteiden sisällön muissa prosesseissa suorittamalla tietyn koodin kohdeprosessorin ytimessä.
Hyödyntämistä varten ongelmat on löydettävä prosessikoodista ja lähettää erityiskoodeja (gadgeteja), joihin hyökkääjän hallitsema arvo ladataan, ja tämän arvon lataaminen aiheuttaa poikkeuksia, jotka hylkäävät tuloksen ja suorittavat käskyn uudelleen.
Poikkeusta käsiteltäessä tulee näkyviin spekulatiivinen ikkuna, jonka aikana gadgetissa käsitellyt tiedot suodatetaan.
Erityisesti prosessori alkaa spekulatiivisesti suorittaa koodinpätkää (gadget), määrittää sitten, että ennustetta ei ole perusteltu, ja kääntää operaatiot, mutta käsitellyt tiedot Spekulatiivisen teloituksen aikana talletetaan L1D-välimuistiin ja puskureihin mikroarkkitehtuuriset tiedot ja ne voidaan purkaa niistä tunnetuilla menetelmillä jäännösdatan määrittämiseksi kolmannen osapuolen kanavilta.
Suurin vaikeus hyökätä muihin prosesseihin jakuinka avustaminen aloitetaan manipuloimalla uhriprosessia.
Tällä hetkellä ei ole luotettavia tapoja tehdä tämä, mutta tulevaisuudessa sen havainnot eivät ole poissuljettuja. Toistaiseksi hyökkäyksen mahdollisuus on vahvistettu vain Intel SGX -asennuksille, muut skenaariot ovat teoreettisia tai toistettavissa synteettisissä olosuhteissa.
Mahdolliset hyökkäysvektorit
- Tietojen vuotaminen ytimen rakenteista käyttäjätason prosessiin. Linux-ytimen suojaus Spectre 1 -hyökkäyksiä ja SMAP (Supervisor Mode Access Prevention) -suojausmekanismia vastaan vähentää merkittävästi LVI-hyökkäyksen todennäköisyyttä. Ytimen lisäsuojauksen käyttöönotto voi olla tarpeen, kun tunnistetaan yksinkertaisempia menetelmiä LVI-hyökkäyksen toteuttamiseksi tulevaisuudessa.
- Tietovuoto eri prosessien välillä. Hyökkäys vaatii tiettyjen koodinpätkien läsnäoloa sovelluksessa ja menetelmän määrittämistä, jotta kohdeprosessissa voidaan tehdä poikkeus.
- Tiedot vuotavat isäntäympäristöstä vierasjärjestelmään. Hyökkäys on luokiteltu liian monimutkaiseksi, ja se vaatii useiden vaikeasti toteutettavien vaiheiden toteuttamisen ja järjestelmän toiminnan ennustamisen.
- Tietovuoto eri vierasjärjestelmien prosessien välillä. Hyökkäysvektori on lähellä tietojen vuotamisen järjestämistä eri prosessien välillä, mutta vaatii myös monimutkaisia manipulointeja vieraiden järjestelmien välisen eristämisen välttämiseksi.
Tehokkaan suojauksen tarjoamiseksi LVI: tä varten tarvitaan CPU: n laitteistomuutoksia. Järjestämällä suojaus ohjelmallisesti, lisäämällä kääntäjän LFENCE-käsky jokaisen latauksen jälkeen muistista ja korvaamalla RET-käsky POP: lla, LFENCE: llä ja JMP: llä, korjataan liikaa yleiskustannuksia; Tutkijoiden mukaan kattava ohjelmistosuoja johtaa suorituskyvyn heikkenemiseen 2-19 kertaa.
lähde: https://www.intel.com