U prethodnom članku govorili smo o grešci koja se ne može ispraviti u Intelovim procesorima prije desete generacije a sada ovom prilikom a bug koji utječe na AMD procesore. I to je tim od istraživači sa Sveučilišta u Grazu (Austrija), ranije poznat po razvoju metoda napada za MDS, NetSpectre, Throwhammer i ZombieLoad.
Sada su radili na istraživanju specifičnih AMD-ovih optimizacija hardvera i razvio dvije nove metode za napad na kanale treće strane koji manipuliraju curenjem podataka tijekom predviđanja cache kanala prve razine AMD procesora.
Metode može se koristiti za smanjenje ASLR zaštite, vratiti ključeve u ranjivim AES raspoređivanjima i povećati učinkovitost napada Spectre.
U svojim istraživanjima oni to izvještavaju prepoznali su probleme u provedbi mehanizma predviđanja kanala (prediktor oblika) u predmemoriji podataka CPU-a prve razine (L1D), koristi se za predviđanje koji predmemorijski kanal odražava određenu memorijsku adresu.
Optimizacija koja se koristi u AMD procesorima temelji se na provjeri μ-oznaka. μTag izračunava se primjenom određene hash funkcije na virtualnu adresu. Tijekom operacije, nprMehanizam predviđanja kanala koristi μTag za određivanje kanala predmemorije za tablicu.
Stoga, μTag omogućuje procesoru da se ograniči na pristup samo jednom određenom kanalu, bez popisa svih opcija, što značajno smanjuje potrošnju energije procesora.
Ranjivost se očituje u AMD procesori zasnovani na mikroarhitekturi Buldožer, Piledriver, Parni valjak, Zen (Ryzen, Epic), Zen + i Zen2.
AMD je o problemu obaviješten 23. kolovoza 2019., ali još nije objavio izvješće s informacijama o blokiranju ranjivosti.
Prema istražiteljima, izdanje može se srušiti na razini ažuriranja mikrokoda pružanjem MSR bitova za selektivno onemogućavanje sustava predviđanja kanala, slično onome kako je Intel upravljao isključivanjem mehanizama predviđanja prijelaza.
Tijekom obrnutog inženjeringa implementacije sustava predviđanja kanala na različitim generacijama AMD procesora proizvedenih između 2011. i 2019., Otkrivene su dvije nove tehnike za ciljanje kanala nezavisnih proizvođača:
- Sudar + sonda: omogućuje napadaču praćenje pristupa memoriji za procese koji se izvode na istoj logičkoj jezgri kao i CPU.
Suština metode je korištenje virtualnih adresa koje uzrokuju kolizijske raspršivanje funkcije koja se koristi za izračunavanje μTag za praćenje pristupa memoriji. Za razliku od napada Flush + Reload i Prime + Probe koji se koriste na Intelovim procesorima, Collide + Probe ne koristi zajedničku memoriju i radi bez poznavanja fizičkih adresa. - Učitavanje + ponovno učitavanje: omogućuje vrlo precizno utvrđivanje tragova pristupa memoriji u istoj fizičkoj jezgri CPU-a. Metoda se temelji na činjenici da se fizička memorijska stanica može staviti u predmemoriju L1D samo jednom.
Odnosno, pristup istoj memorijskoj lokaciji na drugoj virtualnoj adresi natjerat će ćeliju iz L1D predmemorije, omogućujući vam praćenje pristupa memoriji. Iako se napad oslanja na zajedničku memoriju, on ne resetira linije predmemorije, što omogućuje izvođenje skrivenih napada koji ne istiskuju podatke iz predmemorije najviše razine.
Na temelju tehnika sudara + sonde i opterećenja + ponovnog punjenja, istraživači su demonstrirali različite scenarije napada putem nezavisnih kanala:
Prikazana je mogućnost korištenja metoda organizirati skriveni neizravni komunikacijski kanal između dva procesa, što omogućuje prijenos podataka brzinama do 588 kB u sekundi.
Korištenjem sudara u μTag bilo je moguće smanjiti entropiju za različite varijante nasumičnog rasporeda rasporeda adresnog prostora (ASLR) i zaobilaze ASLR zaštitu u jezgri u potpuno suvremeni Linux sustav.
Prikazana je mogućnost napada kako bi se smanjila ASLR entropija i korisničkih aplikacija i korištenje JavaScript koda izvedenog u okruženju pješčanika i kôd koji se izvodi u drugom gostinjskom okruženju.