Informacije o nov razred napadov HVAC v mehanizmu špekulativna izvedba, ki vpliva na Intel, ki se lahko uporablja za pridobivanje ključev in občutljivih podatkov iz enklav Intel SGX in drugih procesov.
Novi razred napadov temelji na manipulacijah z enakimi mikroarhitekturnimi strukturami kot v napadih MDS, Spectre in Meltdown. Ob istem času, novi napadi ne blokirajo obstoječe metode zaščita pred napadi Meltdown, Spectre, MDS in drugimi podobnimi.
O LVI
Problem je aprila lani identificiral raziskovalec Jo Van Bulck z univerze v Leuvenu, nato pa je ob sodelovanju 9 raziskovalcev z drugih univerz razvitih je bilo pet osnovnih metod napada, od katerih vsaka omogoča natančnejše možnosti.
Kakorkoli že, februarja letos je Raziskovalci Bitdefenderja so odkrili tudi eno od možnosti napada LVI in to sporočil Intelu.
Možnosti napada odlikuje uporaba različnih mikroarhitekturnih struktur, na primer Store Buffer (SB, Store Buffer), Fill Buffer (LFB, Line Fill Buffer), FPU Context Switch Buffer in First Level Cache (L1D), ki se je prej uporabljal pri napadih, kot so ZombieLoad, RIDL, Fallout, LazyFP, Foreshadow in Stopiti.
Glavna razlika med Napadem jihs LVI in MDS je, da MDS manipulira z določanjem vsebine mikroarhitekturnih struktur, ki ostanejo v predpomnilniku po špekulativnih obdelavah napak ali operacijah nalaganja in shranjevanja, medtem Napadi LVI omogočajo nadomestitev napadalca v mikroarhitekturnih strukturah vplivati na poznejše špekulativno izvajanje žrtvine kode.
Z uporabo teh manipulacij lahko napadalec izvleče vsebino zaprtih podatkovnih struktur v drugih procesih, medtem ko izvaja določeno kodo v jedru ciljnega CPU.
Pri izkoriščanju je treba težave najti v kodi procesa in pošlje zaporedja posebnih kod (pripomočkov), v katerih je naložena vrednost, ki jo nadzoruje napadalec, in nalaganje te vrednosti povzroči izjeme, ki rezultat zavržejo in znova izvedejo navodila.
Pri obdelavi izjeme se prikaže špekulativno okno, v katerem se filtrirajo podatki, obdelani v pripomočku.
Še posebej procesor začne špekulativno izvajati del kode (pripomoček), nato ugotovi, da napoved ni bila upravičena, in obrne postopke, vendar obdelanih podatkov Med špekulativno usmrtitvijo se shranijo v predpomnilnik L1D in medpomnilnike mikroarhitekturne podatke in jih je mogoče iz njih pridobiti z znanimi metodami za določanje preostalih podatkov iz tujih kanalov.
Glavna težava napasti druge procese ins kako začeti pomoč z manipulacijo žrtev procesa.
Trenutno za to ni zanesljivih načinov, vendar v prihodnosti njegova ugotovitev ni izključena. Doslej je bila možnost napada potrjena samo za enklave Intel SGX, drugi scenariji so teoretični ali ponovljivi v sintetičnih pogojih.
Možni vektorji napada
- Uhajanje podatkov iz struktur jedra v postopek na ravni uporabnika. Zaščita jedra Linuxa proti napadom Spectre 1 in zaščitnemu mehanizmu SMAP (Supervisor Mode Prevention Prevention) znatno zmanjša verjetnost napada LVI. Uvedba dodatne zaščite jedra bo morda potrebna pri določanju preprostejših metod za izvajanje napada LVI v prihodnosti.
- Uhajanje podatkov med različnimi procesi. Napad zahteva prisotnost določenih delčkov kode v aplikaciji in določitev metode za sprožitev izjeme v ciljnem procesu.
- Uhajanje podatkov iz gostiteljskega okolja v gostujoči sistem. Napad je razvrščen kot preveč zapleten in zahteva izvedbo več težko izvedljivih korakov in napovedi aktivnosti v sistemu.
- Uhajanje podatkov med procesi v različnih gostujočih sistemih. Vektor napada je blizu organiziranja uhajanja podatkov med različnimi procesi, vendar zahteva tudi zapletene manipulacije, da bi se izognili izolaciji med gostujočimi sistemi.
Za učinkovito zaščito pred LVI so potrebne spremembe strojne opreme CPU. S programsko organizacijo zaščite z dodajanjem izjave prevajalnika LFENCE po vsaki operaciji nalaganja iz pomnilnika in z nadomestitvijo stavka RET s POP, LFENCE in JMP odpravi preveč režijskih stroškov; Po mnenju raziskovalcev bo celovita zaščita programske opreme povzročila 2 do 19-kratno poslabšanje zmogljivosti.