SLAM: un nou tipus d'atac que afecta Intel, AMD i ARM

Fa poc es va fer conèixer la notícia que un grup d'investigadors van desenvolupar una nova tècnica d'atac de canal lateral anomenat SLAM (Spectre Linear Address Masking), que explota les vulnerabilitats de microarquitectura de classe Spectre, en què pot eludir les proteccions de maquinari i exposar els hashes de contrasenyes de la memòria del nucli.

SLAM és un tipus d'atac basat en execució transitòria que aprofita les característiques de la memòria que permeten al programari utilitzar bits de dades no traduïdes en adreces lineals de 64 bits per emmagatzemar metadades del nucli. Amb això, un atacant pot manipular instruccions al codi de programari per desencadenar lexecució duna manera que reveli dades confidencials, inclosa informació de diversos programes i fins i tot del sistema operatiu.

L?amenaça aprofita un nou canal encobert basat en la traducció d?adreces no canòniques que facilita l?explotació pràctica de dispositius Spectre genèrics per filtrar informació valuosa.

Si bé LAM, és el terme utilitzat per Intel per a aquest tipus d'atac, significa emmascarament d'adreces lineals. Arm ho va denominar Top Byte Ignore (TBI) i AMD en diu Upper Address Ignore (UAI), però tots tres implementen la mateixa funció de manera diferent.

Quant a que CPU es veuen afectades, els investigadors esmenten els següents:

• CPU AMD existents vulnerables a CVE-2020-12965.
• Futures CPU Intel que admetin LAM (paginació de 4 i 5 nivells).
• Futures CPU AMD que admetran UAI i paginació de 5 nivells.
• CPU Future Arm que admeten TBI i paginació de 5 nivells.

Per analogia amb l'explotació de les vulnerabilitats de Spectre, un atac SLAM requereix la presència de certes seqüències d'instruccions (gadgets) en el nucli que condueix a l'execució especulativa d'instruccions. Aquestes instruccions donen com a resultat una lectura especulativa de dades de la memòria depenent de les condicions externes en què pot influir l'atacant.

Quan es determina una predicció incorrecta, el resultat de l'execució especulativa es descarta, però les dades processades romanen a la memòria cau i després es poden recuperar mitjançant l'anàlisi de canal lateral. Per extreure les dades que s'han emmagatzemat a la memòria cau, els investigadors utilitzen el mètode Evict+Reload, que es basa en crear condicions per desplaçar dades del cau (per exemple, crear una activitat que ompli uniformement la memòria cau amb contingut típic) i realitzar operacions el temps d'execució de les quals permet jutjar la presència de dades a la memòria cau del processador.

Per dur a terme un atac SLAM, s'utilitzen dispositius basats en codi en què les dades controlades per l'atacant s'utilitzen com a punter. Cal assenyalar que aquests patrons de codi s'utilitzen sovint en els programes, per exemple, s'han identificat desenes de milers d'aquests dispositius al nucli de Linux, dels quals almenys diversos centenars són adequats per al seu ús en exploits.

Les fuites es poden prevenir afegint instruccions addicionals a aquests dispositius que bloquegin l'execució especulativa. Intel té la intenció de proporcionar un mètode antifugides de programari abans d'enviar processadors habilitats per a LAM. AMD va recomanar utilitzar mètodes existents per bloquejar els atacs de Spectre v2. Per protegir-se contra l'atac, els desenvolupadors del nucli de Linux van decidir desactivar la compatibilitat amb LAM per defecte fins que Intel publiqués recomanacions per bloquejar la vulnerabilitat

Finalment cal esmentar que els investigadors van publicar la implementació del mètode i van oferir una demostració de com es poden extreure de la memòria del nucli les dades corresponents a una determinada màscara. Actualment, aquest exploit és independent de la CPU, però s'ha demostrat que funciona només a Linux, que ja ha creat un pegat per deshabilitar LAM per defecte fins que hi hagi més instruccions disponibles.

Finalment, si estàs interessat a poder conèixer més sobre això, pots consultar els detalls al següent enllaç.