nylig informasjon ble gitt ut om et nytt angrep på Intel-prosessorer, kalt «AEPIC-lekkasje» (allerede katalogisert under CVE-2022-21233), dette nye angrepet fører til lekkasje av sensitive data fra isolerte enklaver av intel sgx (Software Guard-utvidelser).
I motsetning til angrepene fra Spectre-klassen, en lekkasje i AEPIC Leak skjer uten bruk av tredjeparts gjenopprettingsmetoder, siden informasjonen om sensitive data overføres direkte ved å få innholdet i registrene reflektert i MMIO (memory mapped I/O) minnesiden.
En generell angrepet lar deg bestemme dataene som overføres mellom cachene på det andre og siste nivået, inkludert innholdet i registre og resultatene av minneleseoperasjoner, som tidligere ble behandlet på samme CPU-kjerne.
I/O-adresseskanning på Intel-prosessorer basert på Sunny Cove-mikroarkitekturen avslørte at de tildelte postenes innebygd avansert programmerbar avbrudd lokal kontroller (APIC) de er det ikke
riktig initialisert. Som et resultat returnerer arkitektonisk lesing av disse registrene foreldede data fra mikroarkitekturen, så ingen data som er overført mellom L2 og siste nivå-cache kan leses gjennom disse registerene.
Som adresseområdet til I/O er kun tilgjengelig for privilegerte brukere, ÆPIC-lekkasje retter seg mot Intels TEE, SGX. ÆPIC kan lekke data fra SGX-enklaver som kjører på samme fysiske kjerne. Mens ÆPIC Leak ville utgjøre en enorm trussel i virtualiserte miljøer, gjør hypervisorer dem vanligvis til ikke å eksponere lokale APIC-logger for virtuelle maskiner, noe som eliminerer trusselen i skybaserte scenarier.
I likhet med det tidligere forbigående eksekveringsangrepet rettet mot SGX, er ÆPIC Leak mest effektivt når det utføres parallelt med enklaven på søskenhyperprosessen. ÆPIC-lekkasjen krever imidlertid ikke hyperthreading og kan også lekke enklavedata hvis hyperthreading ikke er tilgjengelig eller deaktivert.
Vi introduserer to nye teknikker for å filtrere data i bruk, det vil si enklaveregisterverdier og data i hvile, det vil si data lagret i enklaveminne. Med Cache Line Freezing introduserer vi en teknikk som legger målrettet press på cachehierarkiet uten å overskrive foreldede data...
Disse hurtigbufferlinjene ser fortsatt ut til å reise gjennom hurtigbufferhierarkiet, men de overskriver ikke foreldede data. For dette formålet logger vi lekkasjer av cache-linjeverdier i safe state-området (SSA).Den andre teknikken, Enclave Shaking, utnytter operativsystemets evne til å sikkert bytte enklavesider. Ved vekselvis å bytte enklavesidene ut og inn, tvinger de hurtigbufrede sidene data gjennom hurtigbufferhierarkiet, slik at ÆPIC kan filtrere verdier uten å fortsette med enklavekjøringen. Vi utnytter ÆPIC Leak i kombinasjon med
Cache Line Freezing og Enclave Shaking for å trekke ut AES-NI-nøkler og RSA-nøkler fra Intel IPP-biblioteket og Intel SGX. Våre angrepslekkasjer enklaver minne ved 334,8 B/s og en trefffrekvens på 92,2 %.
Gitt at angrepet krever tilgang til de fysiske sidene til APIC MMIO, dvs. administratorrettigheter kreves, metoden er begrenset til å angripe SGX-enklaver som administratoren ikke har direkte tilgang til.
Forskere har utviklet et sett med verktøy som gjør det mulig på noen få sekunder å bestemme AES-NI- og RSA-nøklene som er lagret i SGX, samt Intel SGX-attestasjonsnøkler og parametere for pseudo-tilfeldig tallgenerator. Koden for angrepet er publisert på GitHub.
Intel annonserte at de forbereder en løsning i form av en oppdatering av mikrokode som legger til støtte for bufferspyling og legger til ytterligere tiltak for å beskytte enklavedata.
En ny versjon av SDK for Intel SGX er også utarbeidet med endringer for å forhindre datalekkasjer. OS- og hypervisorutviklere oppfordres til å bruke x2APIC-modus i stedet for eldre xAPIC-modus, som bruker MSR-registre i stedet for MMIO for å få tilgang til APIC-registre.
Problemet påvirker Intel 10., 11. og 12. generasjons CPUer (inkludert den nye Ice Lake og Alder Lake-serien) og er forårsaket av en arkitektonisk feil som gir tilgang til uinitialiserte data som er igjen på CPU-ene. APIC (Advanced Programmable Interrupt Controller)-poster fra tidligere operasjoner.
endelig hvis du er det interessert i å vite mer om det, kan du sjekke detaljene i følgende lenke.