Jeśli zostaną wykorzystane, te luki mogą umożliwić atakującym uzyskanie nieautoryzowanego dostępu do poufnych informacji lub ogólnie spowodować problemy
Grupa Naukowcy z uniwersytetów w Chinach i Stanach Zjednoczonych zidentyfikowali nową lukę w procesorach Intel prowadzący do wycieku informacji na wyniku operacji spekulacyjnych kanałami stron trzecich, które mogą być wykorzystane np. do zorganizowania ukrytego kanału komunikacji między procesami lub wykrywania wycieków podczas ataków Meltdown.
Istotą podatności jest zmiana w rejestrze procesora EFLAGS, który nastąpił w wyniku spekulacyjnego wykonania instrukcji, wpływa na późniejszy czas wykonania instrukcji JCC (skok po spełnieniu określonych warunków).
Operacje spekulacyjne nie są zakończone, a wynik jest odrzucany, ale odrzuconą zmianę EFLAGS można określić analizując czas wykonania instrukcji JCC. Spekulacyjnie wykonywane operacje porównywania przed skokiem, jeśli porównanie zakończy się pomyślnie, powodują niewielkie opóźnienie, które można zmierzyć i wykorzystać jako funkcję dopasowywania treści.
Atak z wykonaniem przejściowym to rodzaj ataku wykorzystujący lukę w zabezpieczeniach technologii optymalizacji procesora. Nowe ataki pojawiają się szybko. Kanał boczny jest kluczową częścią ataków polegających na wykonywaniu przejściowym w celu eksfiltracji danych.
W tej pracy odkryliśmy lukę, która zmieniała rejestr EFLAGS w wykonaniu przejściowym, co może mieć efekt uboczny w instrukcji Jcc (Jump Condition Code) w procesorach Intela. Na podstawie naszego odkrycia proponujemy nowy atak kanałem bocznym, który wykorzystuje czas wykonania przejściowego i instrukcje Jcc w celu dostarczenia danych.
Atak ten szyfruje tajne dane poprzez zmianę rejestru, co powoduje, że czas wykonania jest nieco wolniejszy i który atakujący może zmierzyć w celu odszyfrowania danych. Ten atak nie zależy od systemu pamięci podręcznej.
W przeciwieństwie do innych ataków podobne za pośrednictwem kanałów osób trzecich, nowa metoda nie analizuje zmiany czasu dostępu do buforowanych danych i nie jest buforowany oraz nie wymaga kroku resetowania rekordu EFLAGS do stanu początkowego, co utrudnia wykrycie i zablokowanie ataku.
dla wersji demonstracyjnej, naukowcy wdrożyli wariant ataku Meltdown, wykorzystując w nim nową metodę uzyskiwania informacji o wyniku operacji spekulacyjnej. Działanie metody zorganizowania wycieku informacji podczas ataku Meltdown został pomyślnie zademonstrowany na systemach z procesorami Intel Core i7-6700 i i7-7700 w środowisku z jądrem Ubuntu 22.04 i Linuksem 5.15. W systemie z procesorem Intel i9-10980XE atak był tylko częściowo udany.
Podatność Meltdown polega na tym, że podczas spekulacyjnego wykonywania instrukcji, procesor może uzyskać dostęp do prywatnego obszaru danych, a następnie odrzucić wynik, ponieważ ustawione uprawnienia zabraniają takiego dostępu procesowi użytkownika.
W programie spekulacyjnie wykonywany blok jest oddzielony od kodu głównego skokiem warunkowym, który w rzeczywistych warunkach jest wyzwalany zawsze, ale ze względu na to, że instrukcja warunkowa wykorzystuje obliczoną wartość, która nie jest znana procesorowi podczas kodu wyprzedzającego . wykonanie, wszystkie opcje rozgałęzienia są wykonywane spekulacyjnie.
W klasycznym Meltdown, ponieważ ta sama pamięć podręczna jest używana do spekulacyjnie wykonywanych operacji, jak do normalnie wykonywanych instrukcji, możliwe jest podczas wykonywania spekulatywnego ustawienie w pamięci podręcznej znaczników odzwierciedlających zawartość poszczególnych bitów w zamkniętym obszarze pamięci, a następnie w normalnie wykonywanym kodu w celu ustalenia jego znaczenia poprzez analizę czasu dostępu do danych buforowanych i niebuforowanych.
Nowy wariant wykorzystuje zmianę w rejestrze EFLAGS jako znacznik wycieku. W demonstracji Covert Channel jeden proces modulował wysyłane dane, aby zmienić zawartość rekordu EFLAGS, a inny proces analizował zmianę w środowisku wykonawczym JCC, aby odtworzyć dane wysłane przez pierwszy proces.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat, możesz zapoznać się z szczegóły w poniższym linku.