Muutama päivä sitten ryhmä tutkijoita Dresdenin teknillisestä yliopistosta paljasti jonka he tunnistivat haavoittuvuus (CVE-2020-12965) joka mahdollistaa Meltdown-luokan hyökkäyksen Zen +-ja Zen 2 -pohjaisiin AMD-prosessoreihin.
Aluksi AMD Zen +- ja Zen 2 -prosessoreiden ei oletettu olevan alttiita Meltdown -haavoittuvuuteen, mutta tutkijat tunnistivat ominaisuuden mikä johtaa spekulatiiviseen pääsyyn suojattuihin muistialueisiin käytettäessä ei-kanonisia virtuaalisia osoitteita.
Tutkijatmainitaan, että AMD64 -arkkitehtuuri sisältää vain ensimmäisten 48 bitin käytön virtuaaliosoitteesta ja jätä huomiotta loput 16 bittiä ja tällä on määritetty, että bittien 48-63 on aina kopioitava bitin 47 arvo.
Toisin sanoen, jos tätä ehtoa rikotaan ja osoitetta yritetään käsitellä mielivaltaisilla yläbittien arvoilla, prosessori tekee poikkeuksen. Ylempien bittien toistuva pehmuste johtaa käytettävissä olevan osoitetilan jakamiseen kahteen lohkoon.
Osoitteita, jotka mahtuvat määritettyihin lohkoihin, kutsutaan ensisijaisiksi, ja virheellisiä osoitteita, joissa on mielivaltaista suurempaa bittisisältöä, kutsutaan ei-ensisijaisiksi. Alempi kanonisten osoitteiden alue on pääsääntöisesti varattu prosessidatalle ja ylempi alue ytintiedolle (pääsy tiettyihin osoitteisiin käyttäjätilasta estetään oikeuksien erottamisen tasolla).
Klassinen haavoittuvuus Sulautuminen perustuu siihen tosiseikkaan, että spekulatiivisen suorituksen aikana Ohjeet, prosessori voi käyttää yksityistä tietoaluetta ja hylätä tuloksen, koska määritetyt oikeudet estävät tällaisen pääsyn käyttäjäprosessista.
Ohjelmassa spekulatiivisesti suoritettu lohko on erotettu pääkoodista ehdollisella haaralla, joka todellisissa olosuhteissa aina laukaisee, mutta koska ehdollinen ilmoitus käyttää laskettua arvoa, jota prosessori ei tiedä odotetun suorituksen aikana koodi, kaikki haarautumisvaihtoehdot suoritetaan spekulatiivisesti.
Koska minäspekulatiiviset toiminnot käyttävät samaa välimuistia kuin normaalisti suoritettuihin ohjeisiin, se on mahdollista suorituksen aikana spekulatiiviset välimuistin kirjanmerkit heijastavat yksittäisten bittien sisältöä suljetulle muistialueelle ja sitten normaalisti suoritettuun koodiin sen arvon määrittämiseksi Aika-analyysillä pääsee välimuistiin ja välimuistiin.
Uuden haavoittuvuuden erikoisuus vaikuttaa AMD Zen + ja Zen 2 -prosessoreihin, että suorittimet mahdollistavat spekulatiivisen suorituksen luku- ja kirjoitusoperaatiot, jotka käyttävät muistia virheellisten ei-kanonisten osoitteiden avulla, jättäen huomiotta vain ylemmät 16 bittiä.
Siksi spekulatiivisessa koodin suoritusprosessissa suoritin käyttää aina vain alempia 48 bittiä ja osoitteen vahvistus suoritetaan erikseen. Jos muuttaessaan ei-kanonista virtuaalista osoitetta fyysiseksi osoitteeksi assosiatiivisessa käännöspuskurissa (TLB), jos osoitteen kanoninen osa vastaa, spekulatiivinen lataustoiminto palauttaa arvon riippumatta ylemmän 16 bitin sisällöstä, jolloin voit ohittaa muistin jakamisen säikeiden välillä. Myöhemmin toiminto mitätöidään ja hylätään, mutta muistin käyttö suoritetaan ja tiedot tallennetaan välimuistiin.
Kokeilun aikana käyttämällä välimuistin sisällön tunnistustekniikka FLUSH + RELOAD, tutkijat pystyivät järjestämään kanavan salaisen datan siirtämiseen nopeus 125 tavua sekunnissa.
Samat tekniikat, jotka auttavat estämään Meltdown -hyökkäyksiä, kuten LFENCE -ohjeiden käyttö, voidaan käyttää puolustusta vastaan uutta hyökkäystä vastaan.
Samalla tutkijat huomaavat, Verrattuna Intel -suorittimiin A -suorittimien arkkitehtuuriMD rajoittaa todellisten hyökkäysten mahdollisuutta, mutta ei sulje pois uuden menetelmän käyttöä yhdessä muiden mikroarkkitehtuuristen hyökkäysten kanssa sen tehokkuuden lisäämiseksi.
Ehdotettu hyökkäysvaihtoehto ei erityisesti salli ytimen muistialueiden ja muiden prosessien sisällön määrittämistä, vaan se rajoittuu kykyyn päästä käsiksi saman ohjelman muihin säikeisiin, jotka ovat käynnissä samassa virtuaalimuistitilassa.
lähde: https://www.amd.com, https://arxiv.org/