En un article anterior vam parlar d'un error que no pot ser solucionat en els processadors Intel anteriors als de dècima generació i ara en aquesta ocasió es va donar a conèixer un sentència que afecta els processadors AMD. I és que un equip de investigadors de la Universitat Tecnològica de Graz (Àustria), anteriorment conegut per desenvolupar mètodes d'atac per a MDS, NetSpectre, Throwhammer i ZombieLoad.
Ara van treballar per realitzar una investigació sobre optimitzacions de maquinari específiques d'AMD i va desenvolupar dos nous mètodes per atacar canals de tercers que manipulen fuites de dades durant la predicció de canals memòria cau de el primer nivell de processadors AMD.
els mètodes es poden usar per a reduir la protecció ASLR, restaurar claus en implementacions AES vulnerables i augmentar l'eficiència de l'atac Spectre.
En la seva investigació informen que van identificar problemes en la implementació de l'mecanisme de predicció de canal (predictor de forma) a la memòria cau de dades de la CPU de primer nivell (L1D), utilitzada per predir quin canal de la memòria cau es reflecteix una adreça de memòria específica.
L'optimització utilitzada en els processadors AMD es basa en la verificació d'etiquetes μ. μTag es calcula aplicant una funció hash específica a l'adreça virtual. Durant l'operació, il mecanisme de predicció de canal fa servir μTag per determinar el canal de memòria cau de la taula.
Per tant, μTag permet que el processador es limiti a accedir només a un canal específic, Sense enumerar totes les opcions, el que redueix significativament el consum d'energia de la CPU.
La vulnerabilitat es manifesta en processadors AMD basats en microarquitectures Bulldozer, Piledriver, Steamroller, Zen (Ryzen, Epic), Zen + i Zen2.
AMD va ser notificat de el problema el 23 d'agost de 2019, però encara no ha publicat un informe amb informació sobre el bloqueig de la vulnerabilitat.
Segons els investigadors, el problema pot bloquejar en el nivell d'actualització de microcodi a l'proporcionar bits MSR per desactivar selectivament el sistema de predicció de canals, de manera similar a com ho va fer Intel per administrar l'apagat dels mecanismes de predicció de transició.
Durant l'enginyeria inversa de la implementació de sistema de predicció de canals en diverses generacions de processadors AMD fabricats entre 2011 i 2019, es van revelar dues noves tècniques per atacar canals de tercers:
- Collide + Probe: permet a un atacant rastrejar l'accés a la memòria per als processos que s'executen en el mateix nucli lògic de la CPU.
L'essència de l'mètode és usar adreces virtuals que causen col·lisions hash de la funció utilitzada per calcular μTag per rastrejar l'accés a la memòria. A diferència dels atacs Flush + Reload i Prime + Probe utilitzats en els processadors Intel, Collide + Probe no utilitza memòria compartida i funciona sense conèixer les adreces físiques. - Load + Reload: Permet determinar amb molta precisió els rastres d'accés a la memòria en el mateix nucli físic de la CPU. El mètode es basa en el fet que una cel·la de memòria física pot situar-se en la memòria cau L1D només una vegada.
És a dir l'accés a la mateixa ubicació de memòria en una direcció virtual diferent forçarà la cel·la a sortir de la memòria cau L1D, el que li permet rastrejar l'accés a la memòria. Tot i que l'atac depèn de la memòria compartida, no restableix les línies de memòria cau, el que fa possible dur a terme atacs ocults que no desplacen les dades de la memòria cau d'últim nivell.
Basat en les tècniques Collide + Probe i Load + Reload, els investigadors van demostrar diversos escenaris d'atac a través de canals de tercers:
Es mostra la possibilitat d'utilitzar mètodes per organitzar un canal de comunicació indirecte ocult entre dos processos, que permet transmetre dades a velocitats de fins a 588 kB per segon.
Utilitzant col·lisions en μTag, va ser possible reduir l'entropia per a diferents variants de l'assignació aleatòria de el disseny de l'espai d'adreces (ASLR) i evitar la protecció ASLR al nucli en un sistema Linux completament actualitzat.
Es mostra la possibilitat d'un atac per reduir l'entropia ASLR tant de les aplicacions d'usuari com de l'ús de el codi JavaScript executat en l'entorn sandbox i el codi que s'executa en un altre entorn convidat.