Onlangs Intel onthulde twee nieuwe kwetsbaarheden in zijn eigen processors, verwijst opnieuw naar varianten van de bekende MDS (Microarchitectural Data Sampling) en zijn gebaseerd op de toepassing van analysemethoden van derden op gegevens in microarchitectuurstructuren. De onderzoekers van de University of Michigan en de Vrije Universiteit Amsterdam (VUSec) ze ontdekten de mogelijkheden van een aanval.
Volgens Intel heeft dit gevolgen voor huidige desktop- en mobiele processors zoals Amber Lake, Kaby Lake, Coffee Lake en Whiskey Lake, maar ook voor Cascade Lake voor servers.
Cache uit
De eerste heeft de naam L1D Eviction Sampling of afgekort L1DES of het is ook bekend als CacheOut, geregistreerd als "CVE-2020-0549" dit is degene met het grootste gevaar sindsdien staat het zinken toe van cacheregelblokken die uit de cache van het eerste niveau worden gedwongen (L1D) in de vulbuffer, die in dit stadium leeg moet zijn.
Om te bepalen welke gegevens zich in de opvulbuffer bevinden, zijn de analysemethoden van derden die eerder zijn voorgesteld in de MDS- en TAA-aanvallen (Transactional Asynchronous Abort) van toepassing.
De essentie van de eerder geïmplementeerde bescherming van MDS en TAA bleek dat onder sommige omstandigheden de gegevens speculatief worden weggespoeld na de opschoningsoperatie, waardoor de MDS- en TAA-methoden nog steeds van toepassing zijn.
Hierdoor kan een aanvaller bepalen of de gegevens die zijn verplaatst uit de cache op het hoogste niveau tijdens de uitvoering van een applicatie die voorheen de kern van de huidige CPU bezette of applicaties die gelijktijdig in andere logische threads (hyperthread) draaien op dezelfde CPU-kern (door HyperThreading uit te schakelen, wordt de aanval inefficiënt verminderd).
In tegenstelling tot de L1TF-aanval, heeft L1DES staat niet toe om specifieke fysieke adressen te selecteren voor verificatie, maar maakt passieve monitoring van activiteit in andere logische reeksen mogelijk geassocieerd met het laden of opslaan van waarden in het geheugen.
Het VUSec-team heeft de RIDL-aanvalsmethode aangepast voor de L1DES-kwetsbaarheid en dat er ook een exploit-prototype beschikbaar is, dat ook de door Intel voorgestelde MDS-beschermingsmethode omzeilt, gebaseerd op het gebruik van de VERW-instructie om de inhoud van de microarchitectuurbuffers te wissen wanneer ze terugkeren van de kernel naar de gebruikersruimte of wanneer ze de controle overdragen naar het gastsysteem.
Bovendien ook ZombieLoad heeft zijn aanvalsmethode bijgewerkt met de L1DES-kwetsbaarheid.
Terwijl onderzoekers van de Universiteit van Michigan hun eigen aanvalsmethode hebben ontwikkeld CacheOut waarmee u gevoelige informatie kunt extraheren uit de kernel van het besturingssysteem, virtuele machines en beveiligde SGX-enclaves. De methode is gebaseerd op manipulaties met de TAA om de inhoud van de vulbuffer te bepalen na het datalek uit de L1D-cache.
VRS
De tweede kwetsbaarheid is Vector Register Sampling (VRS) een variant van RIDL (Rogue In-Flight Data Load), namelijk gerelateerd aan een Store Buffer-lek van de resultaten van de leesbewerkingen van het vectorregister die werden gewijzigd tijdens de uitvoering van de vectorinstructies (SSE, AVX, AVX-512) op dezelfde CPU-kern.
Een lek doet zich voor in een vrij zeldzame reeks omstandigheden en het wordt veroorzaakt door het feit dat een uitgevoerde speculatieve operatie, die leidt tot de weergave van de toestand van de vectorrecords in de opslagbuffer, wordt vertraagd en beëindigd nadat de buffer is gewist, en niet eerder. Net als bij de L1DES-kwetsbaarheid, de inhoud van de opslagbuffer kan worden bepaald met behulp van MDS- en TAA-aanvalsmethoden.
Echter volgens Intel waarschijnlijk niet te misbruiken omdat het het als te complex noemt om echte aanvallen uit te voeren en het kende een minimum niveau van gevaar toe, met een score van 2.8 CVSS.
Hoewel de onderzoekers van de VUSec-groep een exploit-prototype hebben voorbereid waarmee je de waarden van de vectorregisters kunt bepalen die zijn verkregen als resultaat van berekeningen in een andere logische reeks van dezelfde CPU-kern.
CacheOut is met name relevant voor cloudoperators, omdat aanvalsprocessen gegevens buiten een virtuele machine kunnen lezen.
Eindelijk Intel belooft een firmware-update uit te brengen met de implementatie van mechanismen om deze problemen te blokkeren.