Recientemente Intel odhalil dvě nové chyby zabezpečení ve svých vlastních procesorech, opět odkazuje na varianty známého MDS (Microarchitectural Data Sampling) a jsou založeny na aplikaci analytických metod třetích stran na data v mikroarchitekturních strukturách. The vědci z University of Michigan a Vrije Universiteit Amsterdam (VUSec) objevili možnosti útoku.
Podle společnosti Intel to ovlivňuje současné stolní a mobilní procesory, jako jsou Amber Lake, Kaby Lake, Coffee Lake a Whisky Lake, ale také Cascade Lake pro servery.
Vyrovnávací paměť
První z nich má název L1D Eviction Sampling nebo L1DES v krátkosti nebo je také známý jako CacheOut, registrován jako „CVE-2020-0549“ od té doby je to největší nebezpečí umožňuje potopení bloků řádků mezipaměti vytlačených z mezipaměti první úrovně (L1D) ve vyrovnávací paměti výplně, která by měla být v této fázi prázdná.
K určení dat, která se usadila do vyrovnávací paměti, se použijí analytické metody třetích stran, které byly dříve navrženy v útocích MDS a TAA (Transactional Asynchronous Abort).
Podstata dříve implementované ochrany MDS a TAA se ukázala, že za určitých podmínek jsou data po operaci vyčištění spekulativně vyprázdněna, takže metody MDS a TAA jsou stále použitelné.
Výsledkem je, že útočník může určit, zda jsou data, která byla přesunuta z mezipaměti nejvyšší úrovně během provádění aplikace, která dříve obsazovala jádro aktuálního CPU nebo aplikací, které běží současně v jiných logických vláknech (hyperthread) na stejném jádru CPU (deaktivace HyperThreading neúčinně snižuje útok).
Na rozdíl od útoku L1TF, L1DES neumožňuje vybrat konkrétní fyzické adresy pro ověření, ale umožňuje pasivní sledování aktivity v jiných logických sekvencích spojené s načítáním nebo ukládáním hodnot do paměti.
Tým VUSec přizpůsobil metodu útoku RIDL zranitelnosti L1DES a že je k dispozici také prototyp zneužití, který také obchází metodu ochrany MDS navrženou společností Intel, založenou na použití instrukce VERW k vymazání obsahu vyrovnávacích pamětí mikroarchitektury, když se vrátí z jádra do uživatelského prostoru nebo když přenesou kontrolu do systému pro hosty.
Na druhé straně také ZombieLoad aktualizoval svoji metodu útoku s chybou zabezpečení L1DES.
Zatímco vědci z University of Michigan vyvinuli vlastní metodu útoku CacheOut, který umožňuje extrahovat citlivé informace z jádra operačního systému, virtuálních strojů a zabezpečených enkláv SGX. Metoda se spoléhá na manipulace s TAA k určení obsahu vyrovnávací paměti výplně po úniku dat z mezipaměti L1D.
VRS
Druhou chybou zabezpečení je vzorkování vektorových registrů (VRS) varianta RIDL (Rogue In-Flight Data Load), což je související s únikem Store Buffer výsledků operací čtení vektorového registru, které byly upraveny během provádění vektorových instrukcí (SSE, AVX, AVX-512) na stejném jádru CPU.
K úniku dochází za poměrně vzácných okolností a je to způsobeno skutečností, že prováděná spekulativní operace, vedoucí k odrazu stavu vektorových záznamů ve vyrovnávací paměti úložiště, je zpožděna a ukončena po vymazání vyrovnávací paměti, a ne dříve. Podobně jako zranitelnost L1DES, obsah vyrovnávací paměti úložiště lze určit pomocí metod útoku MDS a TAA.
Nicméně, podle Intelu pravděpodobně nebude využitelné protože jej uvádí jako příliš složitý na to, aby mohl provádět skutečné útoky a stanovila minimální úroveň nebezpečí se skóre 2.8 CVSS.
Ačkoli vědci ze skupiny VUSec připravili prototyp exploitu, který vám umožňuje určit hodnoty vektorových registrů získaných jako výsledek výpočtů v jiné logické posloupnosti stejného jádra CPU.
CacheOut je zvláště důležitý pro cloudové operátory, protože procesy útoku mohou číst data i mimo virtuální počítač.
Konečně Intel slibuje vydání aktualizace firmwaru s implementací mechanismů k blokování těchto problémů.