SpectreRSB: Нова уразливість «класу Spectre» процесорів Intel, AMD і ARM

1. Нова атака Spectre націлена на область RSB
2. SpectreRSB може використовуватися для відновлення даних з Intel SGX
3. Попередні патчі Spectre не допоможуть

Вчені з Каліфорнійського університету в Ріверсайді опублікували детальну інформацію про нову атаку «класу Spectre», що отримала назву SpectreRSB

Як і інші атаки «класу Spectre», SpectreRSB використовує метод спекулятивного виконання каналу, який підтримується всіма сучасними процесорами. Дана технологія дозволяє завчасно виконувати обчислювальні операції, а потім відкидати непотрібні дані.

Нова атака Spectre націлена на область RSB

Основна відмінність SpectreRSB від інших атак «класу Spectre» полягає в тому, що SpectreRSB відновлює дані з процесу спекулятивного виконання за рахунок атаки на інший компонент процесора, задіяний в «прогнозуванні» - буфер стека повернень (Return Stack Buffer, RSB). Попередні атаки Spectre були націлені на провісник переходів або області процесорного кешу.

В архітектурі сучасних процесорів компонент RSB залучений в процеси спекулятивного виконання і займається прогнозуванням адреси повернення операції, яку процесор намагається вирахувати заздалегідь.

Дослідникам з університету в Ріверсайді вдалося модифікувати код RSB, щоб отримати контроль над адресами повернення і порушити процеси спекулятивного виконання.

Так як компонент RSB використовується одночасно декількома апаратними потоками, які виконуються на одному і тому ж віртуальному процесорі, то дана уразливість дозволяє здійснювати «забруднення» RSB між процесами і навіть між віртуальними машинами.

SpectreRSB може використовуватися для відновлення даних з Intel SGX

У своєму звіті дослідники описали три типи атак, які можуть використовувати уразливість SpectreRSB, щоб модифікувати RSB і отримає доступ до даних, які не призначені для перегляду.

Наприклад, в двох атаках експертам вдалося змінити код RSB для розкриття і відновлення даних з інших додатків, що працюють на одному процесорі. У третій атаки модифікація RSB «викликала помилку спекулятивних обчислень, яка дозволяла отримати дані за межами осередку SGX».

Остання атака є великою проблемою, тому що Intel SGX (Software Guard Extensions) - це захищені апаратно-розділені області, які призначені для обробки конфіденційних даних. Технологія SGX надає один з найвищих рівнів захисту, яку процесори Intel надають розробникам додатків.

Дослідники повідомили про виявлену уразливість компаніям Intel, AMD і ARM. Однак, тестування проходило тільки на процесорах Intel. З огляду на, що процесори Intel і ARM також використовують компонент RSB для прогнозування адрес повернення, то, швидше за все, вони також схильні до даної уразливості. Red Hat також приступила до розслідування проблеми.

Попередні патчі Spectre не допоможуть

Дослідники з Каліфорнійського університету в Ріверсайді відзначають:

Важливо пам'ятати, що жодна з відомих заходів усунення ризиків проти Spectre, включаючи техніку Retpoline і оновлення програмного забезпечення Intel не може зупинити атаки SpectreRSB.

Це означає, що зловмисник, який хоче відновить дані з ПК жертви, на якому встановлені патчі проти Spectre, отримає можливість оновити оригінальний код Spectre, щоб націлити компонент RSB на обхід будь-яких захисних заходів, що застосовуються власником пристрою.

З іншого боку, дослідники повідомляють, що Intel розробила патч, який зупиняє дану атаку на деяких процесорах, але він не був розгорнутий на всіх процесорах виробника:

Зокрема, на Core-i7 Skylake і більш нових процесорах (не включаючи лінійку Xeon) патч під назвою RSB refilling використовується для усунення вразливості в разі неповного заповнення RSB.

Дана захисна міра блокує SpectreRSB можливість запускати атаки, які перемикаються в ядро. Ми рекомендуємо використовувати цей патч на всіх комп'ютерах для захисту від SpectreRSB

Проте, офіційна позиція Intel розходиться з думкою дослідників. Компанія впевнена, що дані методи усунення ризиків не можуть запобігти атакам SpectreRSB:

SpectreRSB пов'язана з маніпуляцією цільовим кешем адрес розгалужень (Branch Target Injection, CVE-2017-5715). Ми вважаємо, що експлойти, описані в звіті можуть бути усунені аналогічним чином. Ми вже опублікували інструкції для розробників в офіційному документі «Speculative Execution Side Channel Mitigations». Ми вдячні за поточну роботу дослідницького співтовариства. Ми працює в тісній співпраці, щоб поліпшити захист наших клієнтів.

Список розкритих атак Meltdown і Spectre поповнюється щомісяця, відстежувати їх стає все складніше. Нижче наведено таблицю зі зведеною інформацією вразливостей.

Варіант Опис CVE Кодове ім'я Порушені CPU Подробиці Variant 1 Bounds check bypass - обхід перевірки кордонів CVE-2017-5753 Spectre v1 Intel, AMD, ARM Веб сайт Variant 1.1 Bounds check bypass on stores - обхід перевірки кордонів сховища CVE-2018-3693 Spectre 1.1 Intel, AMD, ARM Paper Variant 1.2 Read-only protection bypass - обхід захисту від внесення змін CVE unknown Spectre 1.2 Intel, AMD, ARM Paper Variant 2 Branch target injection - маніпуляція цільовим кешем адрес розгалужень CVE-2017-5715 Spectre v2 Intel, AMD, ARM Веб сайт Variant 3 Rogue data cache load - осідання даних в кеші після скасування операції CVE-2017-5754 Meltdown Intel, ARM Веб сайт Variant 3a Rogue system register read - читання вмісту системних регістрів CVE-2018-3640 - Intel, AMD, ARM, IBM Mitre Variant 3a Speculative store bypass - обхід спекулятивного збереження CVE-2018-3639 SpectreNG Intel, AMD, ARM, IBM Блог Microsoft - Return Mispredict - повернення невірних значень прогнозування - SpectreRSB Intel, AMD, ARM Paper

за матеріалами Bleeping Computer

Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter