最近 Intelは、自社のプロセッサにXNUMXつの新しい脆弱性を明らかにしました。 もう一度バリアントを指します 有名なMDSから (Microarchitectural Data Sampling)は、マイクロアーキテクチャ構造のデータへのサードパーティの分析方法の適用に基づいています。 ザ・ ミシガン大学とアムステルダム自由大学の研究者 (VUSec) 彼らは攻撃の可能性を発見しました。
Intelによると、これは、Amber Lake、Kaby Lake、Coffee Lake、Whisky Lakeなどの現在のデスクトップおよびモバイルプロセッサだけでなく、サーバー用のCascadeLakeにも影響します。
キャッシュアウト
それらの最初のものはL1Dという名前を持っています エビクションサンプリングまたは略してL1DES、またはCacheOutとも呼ばれます。 「CVE-2020-0549」として登録 これは以来最大の危険を伴うものです 第XNUMXレベルのキャッシュから強制的に排出されるキャッシュラインブロックのシンクを許可します (L1D)フィルバッファ内。この段階では空である必要があります。
パディングバッファに落ち着いたデータを特定するには、MDSおよびTAA(Transactional Asynchronous Abort)攻撃で以前に提案されたサードパーティの分析方法を適用できます。
以前に実装されたMDSおよびTAAの保護の本質は、特定の条件下では、クリーンアップ操作後にデータが投機的にフラッシュされるため、MDSおよびTAAの方法が引き続き適用可能であることが判明しました。
その結果、攻撃者は、最上位のキャッシュから移動されたデータかどうかを判断できます。 現在のCPUのコアを以前占有していたアプリケーション、または同じCPUコア内の他の論理スレッド(ハイパースレッド)で同時に実行されるアプリケーションの実行中(ハイパースレッディングを無効にすると、攻撃が非効率的に減少します)。
L1TF攻撃とは異なり、L1DES 特定の物理アドレスを選択することはできません 検証のために、 ただし、他の論理シーケンスのアクティビティをパッシブに監視できます メモリへの値のロードまたは保存に関連付けられています。
VUSecチームは、L1DESの脆弱性にRIDL攻撃方法を採用しました また、カーネルからユーザースペースに戻るとき、または制御を転送するときに、マイクロアーキテクチャバッファのコンテンツをクリアするためのVERW命令の使用に基づいて、Intelによって提案されたMDS保護方法をバイパスするエクスプロイトプロトタイプも利用できます。ゲストシステムに。
また、また ZombieLoadは、L1DESの脆弱性で攻撃方法を更新しました。
ミシガン大学の研究者は独自の攻撃方法を開発しましたが オペレーティングシステムのカーネル、仮想マシン、およびSGXセキュアエンクレーブから機密情報を抽出できるようにするCacheOut。 この方法は、TAAによる操作に依存して、L1Dキャッシュからのデータ漏洩後のフィルバッファの内容を決定します。
VRS
XNUMX番目の脆弱性はベクトルレジスタサンプリングです (VRS)RIDL(Rogue In-Flight Data Load)のバリアントであり、 ストアバッファリークに関連する 同じCPUコアでのベクトル命令(SSE、AVX、AVX-512)の実行中に変更されたベクトルレジスタ読み取り操作の結果の一覧。
リークは、かなりまれな状況で発生します また、ストレージバッファ内のベクトルレコードの状態の反映につながる投機的操作が、バッファがクリアされる前ではなく、クリアされた後に遅延および終了するという事実が原因です。 L1DESの脆弱性と同様に、 ストレージバッファの内容は、MDSおよびTAA攻撃方法を使用して決定できます。
しかし、 Intelによると、悪用される可能性は低い 複雑すぎて実際の攻撃を実行できないと分類されているため そしてそれは2.8CVSSのスコアで最小レベルの危険を割り当てました。
VUSecグループの研究者は、同じCPUコアの別の論理シーケンスでの計算の結果として取得されたベクトルレジスタの値を決定できるエクスプロイトプロトタイプを準備しましたが。
CacheOutは、攻撃プロセスが仮想マシンを超えてデータを読み取る可能性があるため、クラウドオペレーターに特に関係があります。
最後に Intelはファームウェアアップデートをリリースすることを約束します これらの問題をブロックするメカニズムの実装で。