Se exploradas, essas falhas podem permitir que invasores obtenham acesso não autorizado a informações confidenciais ou geralmente causem problemas
Um grupo de Pesquisadores de universidades da China e dos Estados Unidos identificaram uma nova vulnerabilidade em processadores Intel levando a vazamento de informações sobre o resultado de operações especulativas por meio de canais de terceiros, que podem ser utilizados, por exemplo, para organizar um canal de comunicação oculto entre processos ou detectar vazamentos durante ataques Meltdown.
A essência da vulnerabilidade é uma alteração no registro do processador EFLAGS, que ocorreu como resultado da execução especulativa de instruções, afeta o tempo de execução subseqüente de instruções JCC (salto quando condições especificadas são atendidas).
As operações especulativas não são concluídas e o resultado é descartado, mas a alteração EFLAGS descartada pode ser determinada analisando o tempo de execução das instruções JCC. Operações de comparação pré-salto executadas especulativamente, se a comparação for bem-sucedida, resultam em um pequeno atraso que pode ser medido e usado como um recurso de correspondência de conteúdo.
O ataque de execução transiente é um tipo de ataque que explora a vulnerabilidade das tecnologias de otimização de CPU. Novos ataques surgem rapidamente. O canal lateral é uma parte fundamental dos ataques de execução transitória para exfiltrar dados.
Neste trabalho, descobrimos uma vulnerabilidade que alterava o registro EFLAGS em execução transiente que pode ter um efeito colateral na instrução Jcc (Jump Condition Code) em CPUs Intel. Com base em nossa descoberta, propomos um novo ataque de canal lateral que explora o tempo de execução transiente e as instruções Jcc para fornecer dados.
Esse ataque criptografa dados secretos alterando o registro, o que faz com que o tempo de execução seja um pouco mais lento e que pode ser medido pelo invasor para decodificar os dados. Este ataque não depende do sistema de cache.
Ao contrário de outros ataques semelhantes através de canais de terceiros, o novo método não analisa a mudança no tempo de acesso aos dados em cache e não armazenado em cache e não requer a etapa de redefinição do registro EFLAGS para o estado inicial, o que dificulta a detecção e o bloqueio do ataque.
para demonstração, os pesquisadores implementaram uma variante do ataque Meltdown, utilizando nela um novo método para obter informações sobre o resultado de uma operação especulativa. A operação do método para organizar o vazamento de informações durante um ataque Meltdown foi demonstrado com sucesso em sistemas com CPUs Intel Core i7-6700 e i7-7700 em ambiente com kernel Ubuntu 22.04 e Linux 5.15. Em um sistema com uma CPU Intel i9-10980XE, o ataque foi apenas parcialmente bem-sucedido.
A vulnerabilidade Meltdown é baseada no fato de que durante a execução especulativa de instruções, o processador pode acessar uma área privada de dados e então descartar o resultado, pois os privilégios configurados proíbem tal acesso do processo do usuário.
Em um programa, um bloco executado especulativamente é separado do código principal por um salto condicional, que em condições reais é sempre acionado, mas devido ao fato de que a instrução condicional usa um valor calculado que não é conhecido pelo processador durante o código preemptivo . execução, todas as opções de ramificação são executadas especulativamente.
No Meltdown clássico, uma vez que o mesmo cache é usado para operações executadas especulativamente como para instruções executadas normalmente, é possível durante a execução especulativa definir marcadores no cache que refletem o conteúdo de bits individuais em uma área de memória fechada e, em seguida, em execução normal código para determinar seu significado por meio da análise do tempo de acesso aos dados armazenados em cache e não armazenados em cache.
A nova variante usa a alteração no registro EFLAGS como um marcador de vazamento. Na demonstração do Covert Channel, um processo modulou os dados enviados para alterar o conteúdo do registro EFLAGS e outro processo analisou a alteração no tempo de execução JCC para recriar os dados enviados pelo primeiro processo.
Por fim, se você estiver interessado em saber mais sobre o assunto, pode consultar o detalhes no link a seguir.