Recientemente Spoločnosť Intel odhalila dve nové chyby vo svojich vlastných procesoroch, ešte raz odkazuje na varianty zo známeho MDS (Microarchitectural Data Sampling) a sú založené na aplikácii analytických metód tretích strán na údaje v mikroarchitektúrnych štruktúrach. The výskumníci z University of Michigan a Vrije Universiteit Amsterdam (VUSec) objavili možnosti útoku.
Podľa Intelu to ovplyvňuje súčasné stolové a mobilné procesory ako Amber Lake, Kaby Lake, Coffee Lake a Whisky Lake, ale tiež Cascade Lake pre servery.
Cache Out
Prvý z nich má názov L1D Eviction Sampling alebo L1DES v skratke alebo je tiež známy ako CacheOut, zaregistrovaný ako „CVE-2020-0549“ toto je ten s najväčším nebezpečenstvom od roku umožňuje potopenie blokov medzipamäte linky vytlačených z medzipamäte prvej úrovne (L1D) vo vyrovnávacej pamäti výplne, ktorá by mala byť v tejto fáze prázdna.
Na určenie údajov, ktoré sa usadili vo vyrovnávacej pamäti, sú použiteľné analytické metódy tretích strán, ktoré boli predtým navrhnuté v útokoch MDS a TAA (Transactional Asynchronous Abort).
Podstata predtým implementovanej ochrany MDS a TAA sa ukázala v tom, že za určitých podmienok sú údaje po operácii vyčistenia špekulatívne spláchnuté, takže metódy MDS a TAA sú stále použiteľné.
Vďaka tomu môže útočník určiť, či sú údaje presunuté z medzipamäte najvyššej úrovne počas vykonávania aplikácie, ktorá predtým okupovala jadro aktuálneho CPU, alebo aplikácií, ktoré sa súčasne spúšťajú v iných logických vláknach (hyperthread) v rovnakom jadre CPU (zakázanie HyperThreading neefektívne znižuje útok).
Na rozdiel od útoku L1TF, L1DES neumožňuje výber konkrétnych fyzických adries na overenie, ale umožňuje pasívne sledovanie aktivity v iných logických postupnostiach spojené s načítaním alebo ukladaním hodnôt do pamäte.
Tím VUSec prispôsobil metódu útoku RIDL na zraniteľnosť L1DES a že je k dispozícii aj prototyp zneužitia, ktorý tiež obchádza metódu ochrany MDS navrhnutú spoločnosťou Intel, založenú na použití inštrukcie VERW na vyčistenie obsahu vyrovnávacích pamätí mikroarchitektúry pri návrate z jadra do užívateľského priestoru alebo pri prenose kontroly do systému hostí.
Navyše tiež ZombieLoad aktualizoval svoju metódu útoku na zraniteľnosť L1DES.
Zatiaľ čo vedci z University of Michigan vyvinuli vlastnú metódu útoku CacheOut, ktorý umožňuje extrakciu citlivých informácií z jadra operačného systému, virtuálnych strojov a bezpečných enkláv SGX. Metóda sa spolieha na manipuláciu s TAA na stanovenie obsahu vyrovnávacej pamäte po úniku údajov z medzipamäte L1D.
VRS
Druhou zraniteľnosťou je vzorkovanie vektorových registrov (VRS) variant RIDL (Rogue In-Flight Data Load), ktorý je súvisí s únikom Store Buffer z výsledkov operácií čítania vektorového registra, ktoré boli upravené počas vykonávania vektorových inštrukcií (SSE, AVX, AVX-512) na rovnakom jadre CPU.
K úniku dochádza za pomerne zriedkavých okolností a je to spôsobené skutočnosťou, že vykonaná špekulatívna operácia vedúca k odrazu stavu vektorových záznamov v úložnej medzipamäti je oneskorená a ukončená po vyčistení medzipamäte, a nie skôr. Podobne ako zraniteľnosť L1DES, obsah vyrovnávacej pamäte úložiska je možné určiť pomocou metód útoku MDS a TAA.
Avšak, podľa Intelu pravdepodobne nebude využiteľný pretože je klasifikovaný ako príliš zložitý na uskutočnenie skutočných útokov a priradil minimálnu úroveň nebezpečenstva so skóre 2.8 CVSS.
Aj keď vedci zo skupiny VUSec pripravili exploit prototyp, ktorý umožňuje určiť hodnoty vektorových registrov získaných v dôsledku výpočtov v inej logickej postupnosti rovnakého jadra CPU.
CacheOut je obzvlášť dôležitý pre cloudových operátorov, pretože procesy útoku môžu čítať údaje aj mimo virtuálneho stroja.
Konečne Spoločnosť Intel sľubuje vydanie aktualizácie firmvéru s implementáciou mechanizmov na blokovanie týchto problémov.