Recientemente Intel je v svojih lastnih procesorjih razkril dve novi ranljivosti, se še enkrat nanaša na različice iz znanega MDS (Microarchitectural Data Sampling) in temeljijo na uporabi neodvisnih analiznih metod za podatke v mikroarhitekturnih strukturah. The raziskovalci z Univerze v Michiganu in Vrije Universiteit Amsterdam (VUSec) odkrili so možnosti napada.
Po navedbah Intela to vpliva na sedanje namizne in mobilne procesorje, kot so Amber Lake, Kaby Lake, Coffee Lake in Whisky Lake, pa tudi Cascade Lake za strežnike.
Predpomnilnik
Prvi izmed njih ima ime L1D Eviction Sampling ali L1DES na kratko ali pa je znan tudi kot CacheOut, registrirano kot "CVE-2020-0549" ta je od takrat največja nevarnost omogoča pogrezanje blokov vrstic predpomnilnika, iztisnjenih iz predpomnilnika prve stopnje (L1D) v medpomnilniku za polnjenje, ki naj bo na tej stopnji prazen.
Za določitev podatkov, ki so se naselili v medpomnilnik, se uporabljajo neodvisne metode analize, ki so bile predhodno predlagane v napadih MDS in TAA (Transactional Asynchronous Abort).
Bistvo predhodno izvedene zaščite MDS in TAA se je izkazalo, da se pod določenimi pogoji podatki po operaciji čiščenja špekulativno splaknejo, zato metode MDS in TAA še vedno veljajo.
Posledično lahko napadalec ugotovi, ali so bili podatki, ki so bili premaknjeni iz predpomnilnika najvišje ravni med izvajanjem aplikacije, ki je prej zasedla jedro trenutnega CPU ali aplikacije, ki se istočasno izvajajo v drugih logičnih nitih (hyperthread) na istem jedru CPU (onemogočanje HyperThreading neučinkovito zmanjša napad).
Za razliko od napada L1TF, L1DES ne omogoča izbire določenih fizičnih naslovov za preverjanje, vendar omogoča pasivno spremljanje aktivnosti v drugih logičnih zaporedjih povezano z nalaganjem ali shranjevanjem vrednosti v pomnilnik.
Ekipa VUSec je prilagodila metodo napada RIDL za ranljivost L1DES in da je na voljo tudi prototip izkoriščanja, ki prav tako zaobide metodo zaščite MDS, ki jo je predlagal Intel, na podlagi uporabe navodil VERW za čiščenje vsebine vmesnih pomnilnikov mikroarhitekture, ko se vrnejo iz jedra v uporabniški prostor ali ko prenesejo nadzor gostujočemu sistemu.
Še več, tudi ZombieLoad je posodobil način napada z ranljivostjo L1DES.
Medtem ko so raziskovalci Univerze v Michiganu razvili lastno metodo napada CacheOut, ki omogoča pridobivanje občutljivih informacij iz jedra operacijskega sistema, navideznih strojev in varnih enklav SGX. Metoda se opira na manipulacije s TAA za določanje vsebine vmesnega pomnilnika po uhajanju podatkov iz predpomnilnika L1D.
VRS
Druga ranljivost je vzorčenje vektorskih registrov (VRS) različica RIDL (Rogue In-Flight Data Load), kar je povezane z uhajanjem vmesnega pomnilnika rezultatov bralnih operacij vektorskega registra, ki so bile spremenjene med izvajanjem vektorskih navodil (SSE, AVX, AVX-512) na istem jedru CPU.
Puščanje se zgodi v precej redkih okoliščinah in je posledica dejstva, da se izvedena špekulativna operacija, ki vodi do odseva stanja vektorskih zapisov v vmesnem pomnilniku, odloži in zaključi po tem, ko je medpomnilnik očiščen in ne prej. Podobno kot ranljivost L1DES, vsebino vmesnega pomnilnika lahko določimo z uporabo napadalnih metod MDS in TAA.
Vendar pa po mnenju Intela verjetno ni mogoče izkoristiti saj ga našteva kot preveč zapletenega za izvajanje resničnih napadov in mu je bila dodeljena minimalna stopnja nevarnosti z oceno CVSS 2.8.
Čeprav so raziskovalci skupine VUSec pripravili prototip izkoriščanja, ki vam omogoča določanje vrednosti vektorskih registrov, dobljenih kot rezultat izračunov, v drugem logičnem zaporedju istega jedra CPU.
CacheOut je še posebej pomemben za operaterje v oblaku, saj lahko napadalni procesi berejo podatke izven navideznega stroja.
Končno Intel obljublja, da bo izdal posodobitev vdelane programske opreme z izvajanjem mehanizmov za blokiranje teh težav.