Informacja o nowa klasa ataków LVI w mechanizmie wykonanie spekulacyjne mające wpływ na firmę Intel, które można wykorzystać do wyprowadzania kluczy i poufnych danych z enklaw Intel SGX i innych procesów.
Nowa klasa ataków opiera się na manipulacjach z tymi samymi strukturami mikroarchitekturalnymi, co w atakach MDS, Spectre i Meltdown. W tym samym czasie, nowe ataki nie są blokowane przez istniejące metody ochrona przed Meltdown, Spectre, MDS i innymi podobnymi atakami.
O LVI
Problem została zidentyfikowana w kwietniu ubiegłego roku przez badacza Jo Van Bulck z Uniwersytetu w Leuven, po czym przy udziale 9 badaczy z innych uczelni, opracowano pięć podstawowych metod ataku, z których każdy pozwala na bardziej szczegółowe opcje.
W każdym razie w lutym tego roku Badacze Bitdefender odkryli również jedną z opcji ataku LVI i zgłosił to firmie Intel.
Opcje ataku wyróżnia zastosowanie różnych struktur mikroarchitekturalnych, takie jak Store Buffer (SB, Store Buffer), Fill Buffer (LFB, Line Fill Buffer), FPU Context Switch Buffer i First Level Cache (L1D), wcześniej używane w atakach takich jak ZombieLoad, RIDL, Fallout, LazyFP, Foreshadow i Meltdown.
Główna różnica między Atakuję ichs LVI i MDS polega na tym, że MDS manipuluje określaniem treści struktur mikroarchitekturalnych, które pozostają w pamięci podręcznej po spekulacyjnej obsłudze błędów lub operacjach ładowania i przechowywania, podczas Ataki LVI pozwala atakującemu na zastąpienie w strukturach mikroarchitekturalnych wpływać na późniejsze spekulacyjne wykonanie kodu ofiary.
Korzystając z tych manipulacji, osoba atakująca może wyodrębnić zawartość zamkniętych struktur danych w innych procesach podczas wykonywania określonego kodu w rdzeniu docelowego procesora.
Eksploatacja wymaga znalezienia problemów w kodzie procesu i wysyłanie sekwencji specjalnych kodów (gadżetów), w których ładowana jest wartość kontrolowana przez atakującego, a wczytanie tej wartości powoduje wyjątki, które odrzucają wynik i ponownie wykonują instrukcję.
Podczas przetwarzania wyjątku pojawia się okno spekulatywne, w którym dane przetwarzane w gadżecie są filtrowane.
W szczególności procesor zaczyna spekulacyjnie wykonywać fragment kodu (gadżet), następnie stwierdza, że prognoza nie została uzasadniona i odwraca operacje, ale przetwarzane dane Podczas realizacji spekulacyjnej są umieszczane w pamięci podręcznej L1D i buforach mikroarchitektury i można je z nich wyodrębnić za pomocą znanych metod w celu określenia szczątkowych danych z kanałów stron trzecich.
Główna trudność atakować inne procesy ijak zainicjować pomoc poprzez manipulowanie procesem ofiary.
Obecnie nie ma na to niezawodnych sposobów, ale w przyszłości jego stwierdzenie nie jest wykluczone. Jak dotąd możliwość ataku została potwierdzona tylko dla enklaw Intel SGX, inne scenariusze są teoretyczne lub odtwarzalne w warunkach syntetycznych.
Możliwe wektory ataku
- Wyciek danych ze struktur jądra do procesu na poziomie użytkownika. Ochrona jądra systemu Linux przed atakami Spectre 1 i mechanizmem ochrony SMAP (Supervisor Mode Access Prevention) znacznie zmniejszają prawdopodobieństwo ataku LVI. Wprowadzenie dodatkowej ochrony jądra może być konieczne podczas identyfikowania prostszych metod przeprowadzania ataku LVI w przyszłości.
- Wyciek danych między różnymi procesami. Atak wymaga obecności pewnych fragmentów kodu w aplikacji i określenia metody zgłaszania wyjątku w procesie docelowym.
- Wyciek danych ze środowiska hosta do systemu gościa. Atak jest klasyfikowany jako zbyt złożony, wymagający wykonania kilku trudnych do wykonania kroków i prognozowania aktywności w systemie.
- Wyciek danych między procesami w różnych systemach gości. Wektor ataku jest bliski zorganizowania wycieku danych między różnymi procesami, ale wymaga również skomplikowanych manipulacji, aby uniknąć izolacji między systemami gości.
Aby zapewnić skuteczną ochronę przed LVI, wymagane są zmiany sprzętowe w procesorze. Dzięki programowej organizacji ochrony, dodanie instrukcji kompilatora LFENCE po każdej operacji ładowania z pamięci i zastąpienie instrukcji RET protokołami POP, LFENCE i JMP rozwiązuje zbyt duży narzut; Zdaniem naukowców pełna ochrona oprogramowania doprowadzi do obniżenia wydajności od 2 do 19 razy.
źródło: https://www.intel.com