Als deze fouten worden misbruikt, kunnen aanvallers ongeoorloofde toegang krijgen tot gevoelige informatie of in het algemeen problemen veroorzaken
Een groep Onderzoekers van universiteiten in China en de Verenigde Staten hebben een nieuwe kwetsbaarheid ontdekt bij verwerkers Intel leidt tot informatielek op het resultaat van speculatieve operaties via kanalen van derden, die bijvoorbeeld kunnen worden gebruikt om een verborgen communicatiekanaal tussen processen te organiseren of om lekken tijdens Meltdown-aanvallen op te sporen.
De essentie van de kwetsbaarheid is een wijziging in het EFLAGS-processorregister, die is opgetreden als gevolg van speculatieve uitvoering van instructies, heeft invloed op de daaropvolgende uitvoeringstijd van JCC-instructies (sprong wanneer aan gespecificeerde voorwaarden is voldaan).
Speculatieve operaties worden niet voltooid en het resultaat wordt weggegooid, maar de weggegooide EFLAGS-wijziging kan worden bepaald door de uitvoeringstijd van de JCC-instructies te analyseren. Speculatief uitgevoerde pre-jump vergelijkingsoperaties, als de vergelijking succesvol is, resulteren in een kleine vertraging die kan worden gemeten en gebruikt als een functie voor het matchen van inhoud.
De tijdelijke uitvoeringsaanval is een type aanval dat misbruik maakt van de kwetsbaarheid van CPU-optimalisatietechnologieën. Nieuwe aanvallen ontstaan snel. Het zijkanaal is een belangrijk onderdeel van tijdelijke uitvoeringsaanvallen om gegevens te exfiltreren.
In dit werk ontdekten we een kwetsbaarheid die het EFLAGS-register veranderde in tijdelijke uitvoering, wat een neveneffect kan hebben op de Jcc-instructie (Jump Condition Code) op Intel-CPU's. Op basis van onze ontdekking stellen we een nieuwe zijkanaalaanval voor die gebruikmaakt van tijdelijke uitvoeringstijdstippen en Jcc-instructies om gegevens te leveren.
Deze aanval versleutelt geheime gegevens door het register te wijzigen, waardoor de uitvoeringstijd iets langzamer wordt en die door de aanvaller kan worden gemeten om gegevens te decoderen. Deze aanval is niet afhankelijk van het cachesysteem.
In tegenstelling tot andere aanvallen vergelijkbaar via kanalen van derden, de nieuwe methode analyseert niet de verandering in de toegangstijd tot de gegevens in de cache en niet in de cache en vereist niet de stap van het resetten van het EFLAGS-record naar de oorspronkelijke staat, wat het moeilijk maakt om de aanval te detecteren en te blokkeren.
voor demo, implementeerden de onderzoekers een variant van de Meltdown-aanval, waarin een nieuwe methode wordt gebruikt om informatie te verkrijgen over het resultaat van een speculatieve operatie. De werking van de methode om het lekken van informatie tijdens een Meltdown-aanval te organiseren is met succes gedemonstreerd op systemen met Intel Core i7-6700 en i7-7700 CPU's in een omgeving met Ubuntu 22.04 kernel en Linux 5.15. Op een systeem met een Intel i9-10980XE CPU was de aanval slechts gedeeltelijk succesvol.
De Meltdown-kwetsbaarheid is gebaseerd op het feit dat tijdens de speculatieve uitvoering van instructies, kan de processor toegang krijgen tot een privégegevensgebied en vervolgens het resultaat negeren, aangezien de ingestelde privileges dergelijke toegang voor het gebruikersproces verbieden.
In een programma wordt een speculatief uitgevoerd blok gescheiden van de hoofdcode door een voorwaardelijke sprong, die in reële omstandigheden altijd wordt geactiveerd, maar vanwege het feit dat de voorwaardelijke instructie een berekende waarde gebruikt die niet bekend is bij de processor tijdens preventieve code . uitvoering, worden alle branch-opties speculatief uitgevoerd.
Aangezien in de klassieke Meltdown dezelfde cache wordt gebruikt voor speculatief uitgevoerde bewerkingen als voor normaal uitgevoerde instructies, is het tijdens speculatieve uitvoering mogelijk om markeringen in de cache in te stellen die de inhoud van individuele bits in een gesloten geheugengebied weerspiegelen, en vervolgens in normaal uitgevoerde code om de betekenis ervan te bepalen door analyse van de toegangstijd tot gegevens in de cache en niet in de cache.
De nieuwe variant maakt gebruik van de wijziging in het EFLAGS-register als markering van een lek. In de Covert Channel-demo moduleerde één proces de gegevens die werden verzonden om de inhoud van het EFLAGS-record te wijzigen, en een ander proces analyseerde de wijziging in de JCC-runtime om de gegevens die door het eerste proces waren verzonden opnieuw te creëren.
Tot slot, als u er meer over wilt weten, kunt u de details in de volgende link.