Recentemente Intel ha rivelato due nuove vulnerabilità nei propri processori, ancora una volta si riferisce alle varianti dal noto MDS (Microarchitectural Data Sampling) e si basano sull'applicazione di metodi di analisi di terze parti ai dati in strutture di microarchitettura. Il ricercatori dell'Università del Michigan e della Vrije Universiteit Amsterdam (VUSec) hanno scoperto le possibilità di attacco.
Secondo Intel, ciò riguarda gli attuali processori desktop e mobili come Amber Lake, Kaby Lake, Coffee Lake e Whiskey Lake, ma anche Cascade Lake per i server.
Cache Out
Il primo di loro ha il nome L1D Eviction Sampling o L1DES in breve o è anche noto come CacheOut, registrato come "CVE-2020-0549" questo è quello con il pericolo maggiore da allora consente il sink dei blocchi di riga della cache forzati fuori dalla cache di primo livello (L1D) nel buffer di riempimento, che dovrebbe essere vuoto in questa fase.
Per determinare i dati che si sono depositati nel buffer di riempimento, sono applicabili i metodi di analisi di terze parti precedentemente proposti negli attacchi MDS e TAA (Transactional Asynchronous Abort).
L'essenza della protezione precedentemente implementata di MDS e TAA ha rivelato che in alcune condizioni i dati vengono cancellati in modo speculativo dopo l'operazione di pulizia, quindi i metodi MDS e TAA sono ancora applicabili.
Di conseguenza, un utente malintenzionato può determinare se i dati sono stati spostati dalla cache di primo livello durante l'esecuzione di un'applicazione che in precedenza occupava il core della CPU corrente o di applicazioni che vengono eseguite simultaneamente in altri thread logici (hyperthread) nello stesso core della CPU (disabilitare HyperThreading riduce in modo inefficiente l'attacco).
A differenza dell'attacco L1TF, L1DES non consente di selezionare indirizzi fisici specifici per verifica, ma consente il monitoraggio passivo dell'attività in altre sequenze logiche associato al caricamento o all'archiviazione di valori in memoria.
Il team VUSec ha adattato il metodo di attacco RIDL per la vulnerabilità L1DES e che sia disponibile anche un prototipo di exploit, che bypassa anche il metodo di protezione MDS proposto da Intel, basato sull'uso dell'istruzione VERW per cancellare il contenuto dei buffer della microarchitettura quando ritornano dal kernel allo spazio utente o quando trasferiscono il controllo al sistema guest.
Inoltre, anche ZombieLoad ha aggiornato il suo metodo di attacco con la vulnerabilità L1DES.
Mentre i ricercatori dell'Università del Michigan hanno sviluppato il proprio metodo di attacco CacheOut che consente l'estrazione di informazioni sensibili dal kernel del sistema operativo, dalle macchine virtuali e dalle enclavi sicure SGX. Il metodo si basa su manipolazioni con il TAA per determinare il contenuto del buffer di riempimento dopo la perdita di dati dalla cache L1D.
VRS
La seconda vulnerabilità è il campionamento del registro vettoriale (VRS) una variante di RIDL (Rogue In-Flight Data Load), che è relativo a una perdita del buffer del negozio dei risultati delle operazioni di lettura del registro vettoriale che sono state modificate durante l'esecuzione delle istruzioni vettoriali (SSE, AVX, AVX-512) sullo stesso core della CPU.
Una perdita si verifica in una serie di circostanze piuttosto rare ed è causato dal fatto che un'operazione speculativa eseguita, che porta al riflesso dello stato dei record del vettore nel buffer di memorizzazione, viene ritardata e terminata dopo che il buffer è stato cancellato, e non prima. Simile alla vulnerabilità L1DES, il contenuto del buffer di archiviazione può essere determinato utilizzando metodi di attacco MDS e TAA.
Tuttavia, secondo Intel improbabile che sia sfruttabile poiché è classificato come troppo complesso per eseguire attacchi reali e ha assegnato un livello minimo di pericolo, con un punteggio di 2.8 CVSS.
Sebbene i ricercatori del gruppo VUSec abbiano preparato un prototipo di exploit che consente di determinare i valori dei registri vettoriali ottenuti a seguito di calcoli in un'altra sequenza logica dello stesso core della CPU.
CacheOut è particolarmente importante per gli operatori cloud, poiché i processi di attacco possono leggere i dati oltre una macchina virtuale.
Infine Intel promette di rilasciare un aggiornamento del firmware con l'implementazione di meccanismi per bloccare questi problemi.