Нещодавно Intel виявила дві нові вразливості у власних процесорах: ще раз посилається на варіанти з відомого MDS (Вибірка даних мікроархітектурних даних) і засновані на застосуванні сторонніх методів аналізу до даних у мікроархітектурних структурах. дослідники з Мічиганського університету та університету Vrije Amsterdam (VUSec) вони виявили можливості нападу.
На думку Intel, це впливає на сучасні настільні та мобільні процесори, такі як Amber Lake, Kaby Lake, Coffee Lake та Whisky Lake, а також Cascade Lake для серверів.
Кешувати
Перший з них має назву L1D Вибірка виселення або коротко L1DES, або вона також відома як CacheOut, зареєстровано як "CVE-2020-0549" це найбільша небезпека з тих пір дозволяє потопати блоки рядків кешу, витіснені з кешу першого рівня (L1D) у буфері заповнення, який на цьому етапі повинен бути порожнім.
Для визначення даних, які потрапили в буфер заповнення, застосовуються сторонні методи аналізу, раніше запропоновані в атаках MDS та TAA (Transactional Asynchronous Abort).
Суть раніше впровадженого захисту MDS та TAA виявилося, що за деяких умов дані спекулятивно змиваються після операції очищення, тому методи MDS та TAA все ще застосовуються.
В результаті зловмисник може визначити, чи дані, які були переміщені з кешу верхнього рівня під час виконання програми, яка раніше займала ядро поточного процесора, або програми, які одночасно працюють в інших логічних потоках (гіперпотік) на тому ж ядрі процесора (відключення HyperThreading неефективно зменшує атаку).
На відміну від атаки L1TF, L1DES не дозволяє вибрати конкретні фізичні адреси для перевірки, але дозволяє пасивний моніторинг діяльності в інших логічних послідовностях пов'язані із завантаженням або збереженням значень у пам'яті.
Команда VUSec адаптувала метод атаки RIDL для вразливості L1DES і також доступний прототип експлойта, який також обходить метод захисту MDS, запропонований Intel, заснований на використанні інструкції VERW для очищення вмісту буферів мікроархітектури при поверненні з ядра в користувацький простір або при передачі керування до гостьової системи.
З іншого боку, також ZombieLoad оновив метод атаки вразливістю L1DES.
Поки дослідники з Мічиганського університету розробили власний метод нападу CacheOut, що дозволяє отримувати конфіденційну інформацію з ядра операційної системи, віртуальних машин та захищених анклавів SGX. Метод покладається на маніпуляції з TAA для визначення вмісту буфера заповнення після витоку даних із кешу L1D.
VRS
Друга уразливість - вибірка векторних реєстрів (VRS) варіант RIDL (Rogue In-Flight Data Load), який є пов'язані з витоком буфера магазину результатів операцій зчитування векторного реєстру, які були змінені під час виконання векторних інструкцій (SSE, AVX, AVX-512) на тому самому ядрі центрального процесора.
Витік відбувається за досить рідкісних обставин і це викликано тим, що спекулятивна операція, що веде до відображення стану векторних записів у буфері зберігання, затримується і припиняється після очищення буфера, а не раніше. Подібно до вразливості L1DES, вміст буфера зберігання може бути визначений за допомогою методів атаки MDS та TAA.
Проте, на думку Intel, навряд чи можна використовувати оскільки він перераховує його як занадто складний для здійснення реальних атак і призначається мінімальний рівень небезпеки, з оцінкою CVSS 2.8.
Хоча дослідники групи VUSec підготували прототип експлоїту, який дозволяє визначити значення векторних регістрів, отриманих в результаті обчислень, в іншій логічній послідовності того самого ядра процесора.
CacheOut особливо актуальний для хмарних операторів, оскільки процеси атаки можуть зчитувати дані за межами віртуальної машини.
В кінці кінців Intel обіцяє випустити оновлення мікропрограми з реалізацією механізмів блокування цих проблем.