Wenn sie ausgenutzt werden, können diese Schwachstellen Angreifern den unbefugten Zugriff auf vertrauliche Informationen ermöglichen oder allgemein Probleme verursachen
Eine Gruppe von Forscher von Universitäten in China und den Vereinigten Staaten haben eine neue Schwachstelle identifiziert bei Prozessoren Intel führt zu einem Informationsleck auf das Ergebnis spekulativer Operationen über Kanäle von Drittanbietern, die beispielsweise verwendet werden können, um einen versteckten Kommunikationskanal zwischen Prozessen zu organisieren oder Lecks bei Meltdown-Angriffen zu erkennen.
Der Kern der Schwachstelle ist eine Änderung in der EFLAGS-Prozessorregistrierung, die als Ergebnis einer spekulativen Ausführung von Befehlen aufgetreten sind, wirkt sich auf die nachfolgende Ausführungszeit von JCC-Befehlen aus (Sprung, wenn bestimmte Bedingungen erfüllt sind).
Spekulationsoperationen werden nicht abgeschlossen und das Ergebnis verworfen, aber die verworfene EFLAGS-Änderung kann durch Analysieren der Ausführungszeit der JCC-Befehle bestimmt werden. Spekulativ durchgeführte Pre-Jump-Vergleichsoperationen führen, wenn der Vergleich erfolgreich ist, zu einer kleinen Verzögerung, die gemessen und als Inhaltsanpassungsmerkmal verwendet werden kann.
Der transiente Ausführungsangriff ist ein Angriffstyp, der die Schwachstelle von CPU-Optimierungstechnologien ausnutzt. Neue Angriffe entstehen schnell. Der Seitenkanal ist ein wichtiger Bestandteil von transienten Ausführungsangriffen zum Exfiltrieren von Daten.
In dieser Arbeit haben wir eine Schwachstelle entdeckt, die das EFLAGS-Register in der transienten Ausführung geändert hat, was eine Nebenwirkung auf die Jcc-Anweisung (Jump Condition Code) auf Intel-CPUs haben kann. Basierend auf unserer Entdeckung schlagen wir einen neuen Seitenkanalangriff vor, der das transiente Ausführungstiming und Jcc-Anweisungen ausnutzt, um Daten zu liefern.
Bei diesem Angriff werden geheime Daten verschlüsselt, indem die Registrierung geändert wird, wodurch die Ausführungszeit etwas langsamer wird und der Angreifer messen kann, um Daten zu entschlüsseln. Dieser Angriff ist unabhängig vom Cache-System.
Im Gegensatz zu anderen Angriffen ähnlich über Drittkanäle, das neue Verfahren analysiert nicht die Änderung der Zugriffszeit auf die zwischengespeicherten Daten und nicht zwischengespeichert und erfordert nicht den Schritt des Zurücksetzens des EFLAGS-Datensatzes auf den Anfangszustand, was es schwierig macht, den Angriff zu erkennen und zu blockieren.
für demoimplementierten die Forscher eine Variante des Meltdown-Angriffs, wobei darin eine neue Methode verwendet wird, um Informationen über das Ergebnis einer spekulativen Operation zu erhalten. Der Betrieb der Methode zur Organisation des Informationslecks während eines Meltdown-Angriffs wurde erfolgreich auf Systemen mit Intel Core i7-6700 und i7-7700 CPUs demonstriert in einer Umgebung mit Ubuntu 22.04 Kernel und Linux 5.15. Auf einem System mit Intel i9-10980XE CPU war der Angriff nur teilweise erfolgreich.
Die Meltdown-Schwachstelle beruht darauf, dass während der spekulativen Ausführung von Anweisungen, kann der Prozessor auf einen privaten Datenbereich zugreifen und das Ergebnis dann verwerfen, da die gesetzten Privilegien einen solchen Zugriff vom Benutzerprozess verbieten.
In einem Programm wird ein spekulativ ausgeführter Block durch einen bedingten Sprung vom Hauptcode getrennt, der unter realen Bedingungen immer ausgelöst wird, jedoch aufgrund der Tatsache, dass die bedingte Anweisung einen berechneten Wert verwendet, der dem Prozessor während des präventiven Codes nicht bekannt ist . Ausführung werden alle Verzweigungsoptionen spekulativ ausgeführt.
Da beim klassischen Meltdown für spekulativ ausgeführte Operationen derselbe Cache verwendet wird wie für normal ausgeführte Befehle, ist es während der spekulativen Ausführung möglich, Marker im Cache zu setzen, die den Inhalt einzelner Bits in einem geschlossenen Speicherbereich widerspiegeln und dann normal ausgeführt werden Code, um seine Bedeutung durch Analyse der Zugriffszeit auf zwischengespeicherte und nicht zwischengespeicherte Daten zu bestimmen.
Die neue Variante nutzt die Änderung in der EFLAGS Registry als Zeichen für ein Leck. In der Covert Channel-Demo modulierte ein Prozess die gesendeten Daten, um den Inhalt des EFLAGS-Datensatzes zu ändern, und ein anderer Prozess analysierte die Änderung in der JCC-Laufzeit, um die vom ersten Prozess gesendeten Daten neu zu erstellen.
Wenn Sie mehr darüber erfahren möchten, können Sie die Details im folgenden Link.