Недавно Intel выявила две новые уязвимости в собственных процессорах: еще раз обращается к вариантам известной МДС (Microarchitectural Data Sampling) и основаны на применении сторонних методов анализа к данным в структурах микроархитектуры. В исследователи из Мичиганского университета и Амстердамского университета Врие (ВУСек) они открыли возможности нападения.
По данным Intel, это влияет на современные настольные и мобильные процессоры, такие как Amber Lake, Kaby Lake, Coffee Lake и Whiskey Lake, а также на Cascade Lake для серверов.
кэшаут
Первый из них носит название L1D. Выборка выселения или сокращенно L1DES, также известная как CacheOut, зарегистрирован как "CVE-2020-0549" это один из самых опасных, так как позволяет вытеснять блоки строки кэша, вытесненные из кеша первого уровня (L1D) в буфере заполнения, который на этом этапе должен быть пустым.
Для определения данных, помещенных в буфер заполнения, применимы сторонние методы анализа, ранее предложенные в атаках MDS и TAA (Transactional Asynchronous Abort).
Суть ранее реализованной защиты MDS и TAA заключалась в том, что при некоторых условиях данные спекулятивно сбрасываются после операции очистки, поэтому методы MDS и TAA по-прежнему применимы.
В результате злоумышленник может определить, были ли данные, которые были перемещены из кеша верхнего уровня во время выполнения приложения, которое ранее занимало ядро текущего ЦП, или приложений, которые одновременно выполняются в других логических потоках (гиперпоточность) в том же ядре ЦП (отключение HyperThreading неэффективно снижает атаку).
В отличие от атаки L1TF, L1DES не позволяет выбирать конкретные физические адреса для подтверждения, но позволяет пассивный мониторинг активности в других логических последовательностях связаны с загрузкой или хранением значений в памяти.
Команда VUSec адаптировала метод атаки RIDL для уязвимости L1DES и что также доступен прототип эксплойта, который также обходит метод защиты MDS, предложенный Intel, основанный на использовании инструкции VERW для очистки содержимого буферов микроархитектуры, когда они возвращаются из ядра в пространство пользователя или когда они передают управление в гостевую систему.
Кроме того, также ZombieLoad обновил свой метод атаки, добавив уязвимость L1DES.
В то время как исследователи из Мичиганского университета разработали собственный метод атаки CacheOut, который позволяет извлекать конфиденциальную информацию из ядра операционной системы, виртуальных машин и безопасных анклавов SGX. Метод основан на манипуляциях с TAA для определения содержимого буфера заполнения после утечки данных из кеша L1D.
VRS
Вторая уязвимость - это выборка векторных регистров. (VRS) вариант RIDL (Rogue In-Flight Data Load), который связанные с утечкой буфера хранилища результатов операций чтения векторных регистров, которые были изменены во время выполнения векторных инструкций (SSE, AVX, AVX-512) на том же ядре ЦП.
Утечка возникает при довольно редком стечении обстоятельств. и это вызвано тем фактом, что выполняемая умозрительная операция, приводящая к отражению состояния векторных записей в буфере хранения, задерживается и завершается после очистки буфера, а не раньше. Подобно уязвимости L1DES, содержимое буфера хранения можно определить с помощью методов атаки MDS и TAA.
Тем не менее, по мнению Intel, вряд ли можно эксплуатировать так как классифицируется как слишком сложный для проведения реальных атак и ему присвоен минимальный уровень опасности с оценкой 2.8 CVSS.
Хотя исследователи группы VUSec подготовили прототип эксплойта, который позволяет определять значения векторных регистров, полученные в результате вычислений в другой логической последовательности того же ядра процессора.
CacheOut особенно актуален для операторов облачных вычислений, поскольку процессы атаки могут считывать данные за пределами виртуальной машины.
В конце концов Intel обещает выпустить обновление прошивки с внедрением механизмов для блокировки этих проблем.