Theo một nghiên cứu mới được công bố, các bộ xử lý AMD từ đầu năm 2011 đến 2019 mang các lỗ hổng chưa được tiết lộ trước đó đã mở chúng cho hai cuộc tấn công kênh bên khác nhau mới.
Được biết như “Lấy đi, “Các vectơ tấn công tiềm năng mới tận dụng bộ dự đoán cách bộ đệm dữ liệu L1 (L1D) trong vi kiến trúc Bulldozer của AMD để rò rỉ dữ liệu nhạy cảm từ bộ xử lý và làm tổn hại đến bảo mật bằng cách khôi phục khóa bí mật được sử dụng trong quá trình mã hóa.
Nghiên cứu được công bố bởi một nhóm các học giả từ Đại học Công nghệ và Viện nghiên cứu Khoa học Máy tính và Hệ thống ngẫu nhiên (IRISA), người đã tiết lộ một cách có trách nhiệm các lỗ hổng cho AMD vào tháng 8 năm 2019.
“Chúng tôi nhận thức được một tờ giấy trắng mới tuyên bố khai thác bảo mật tiềm năng trong CPU AMD, theo đó, một tác nhân độc hại có thể thao túng một tính năng liên quan đến bộ đệm để truyền dữ liệu người dùng theo cách không lường trước được”. AMD cho biết trong một lời khuyên được đăng trên trang web của mình vào cuối tuần qua.
“Các nhà nghiên cứu sau đó ghép đường dẫn dữ liệu này với phần mềm đã biết và giảm thiểu hoặc các lỗ hổng kênh bên thực thi đầu cơ. AMD tin rằng đây không phải là các cuộc tấn công dựa trên đầu cơ mới.”
Trong khi thông báo không đi sâu vào chi tiết cụ thể về việc giảm nhẹ cuộc tấn công, Vedad Hadžić, một trong những nhà nghiên cứu chính trên báo, cho biết lỗ hổng vẫn còn mở để chủ động khai thác.
Với việc Intel đang được xem xét kỹ lưỡng về một loạt lỗ hổng trong CPU của mình – từ Meltdown, Spectre, Tải zombie gần đây lỗ hổng phần mềm CSME không thể chỉnh sửa – nghiên cứu là một lời nhắc nhở rằng không có kiến trúc bộ xử lý nào là hoàn toàn an toàn.
Điều đáng chú ý là một số đồng tác giả được liệt kê trong nghiên cứu cũng đứng sau phát hiện ra các lỗ hổng Meltdown, Spectre và ZombieLoad.
Va chạm + thăm dò và tải + tấn công tải lại
Giống như cuộc tấn công Intel Spectre, cặp khai thác – được đặt tên là Va chạm + thăm dò và Tải + Tải lại – thao tác bộ dự đoán bộ đệm L1D đã nói ở trên để truy cập dữ liệu cần bảo mật và không thể truy cập được.
“Với Collide + Thăm dò, kẻ tấn công có thể theo dõi truy cập bộ nhớ của nạn nhân mà không cần biết địa chỉ vật lý hoặc bộ nhớ dùng chung khi chia sẻ thời gian một lõi logic”, các nhà nghiên cứu phác thảo. “Với Tải + Tải lại, chúng tôi khai thác cách dự đoán để có được dấu vết truy cập bộ nhớ chính xác cao của nạn nhân trên cùng lõi vật lý.”
Công cụ dự đoán bộ đệm L1D là một cơ chế tối ưu hóa nhằm giảm mức tiêu thụ năng lượng liên quan đến việc truy cập dữ liệu được lưu trong bộ nhớ cache:
“Công cụ dự đoán tính toán μTag bằng cách sử dụng hàm băm không có giấy tờ trên địa chỉ ảo. ΜTag này được sử dụng để tra cứu cách lưu trữ bộ đệm L1D trong bảng dự đoán. Do đó, CPU phải so sánh thẻ bộ nhớ theo một cách thay vì có thể cách, giảm tiêu thụ năng lượng. “
Các cuộc tấn công bộ đệm mới được phát hiện hoạt động bằng cách thiết kế ngược chức năng băm này để theo dõi truy cập bộ nhớ từ bộ đệm L1D. Trong khi Collide + Thăm dò khai thác μTag va chạm trong bộ dự đoán cách bộ đệm L1D của AMD, Load + Tải lại tận dụng cách xử lý của bộ dự đoán các địa chỉ bí danh trong bộ nhớ.
Nói cách khác, hai kỹ thuật tấn công có thể được sử dụng để lọc dữ liệu nhạy cảm từ một quá trình khác, chia sẻ cùng bộ nhớ với kẻ tấn công hoặc một quá trình chạy trên lõi logic khác của CPU.
Để chứng minh tác động của các cuộc tấn công kênh bên, các nhà nghiên cứu đã thiết lập một kênh bí mật dựa trên bộ nhớ cache đã lọc dữ liệu từ một quá trình chạy trên CPU AMD sang một quy trình lén lút khác, đạt tốc độ truyền tối đa 588,9kB / giây bằng 80 kênh trong song song trên bộ xử lý AMD Ryzen Threadripper 1920X.
Với bộ xử lý EPYC của AMD được các nền tảng đám mây phổ biến như Amazon, Googlevà Microsoft, thực tế là những cuộc tấn công này có thể được thực hiện trong một thiết lập đám mây đặt ra những mối quan tâm đáng kể.
Hơn nữa, các nhà nghiên cứu bảo mật đã có thể thực hiện thành công cuộc tấn công Collide + thăm dò trên một số trình duyệt phổ biến, cụ thể là Chrome và Firefox, bằng cách bỏ qua ngẫu nhiên bố cục không gian địa chỉ (ASLR) trong các trình duyệt, do đó giảm entropy và truy xuất thông tin địa chỉ.
ASLR là một triển khai bảo mật được sử dụng để ngẫu nhiên hóa và che dấu các vị trí chính xác của mã và các vùng dữ liệu chính trong bộ nhớ của CPU. Nói cách khác, nó cản trở kẻ tấn công tiềm năng đoán địa chỉ mục tiêu và nhảy đến các phần cụ thể trong bộ nhớ.
“Trong Firefox, chúng tôi có thể giảm entropy 15 bit với tỷ lệ thành công là 98% và thời gian chạy trung bình là 2,33 giây (= 0,03s, n = 1000)”, các nhà nghiên cứu lưu ý. “Với Chrome, chúng tôi có thể giảm chính xác các bit với tỷ lệ thành công là 86,1% và thời gian chạy trung bình là 2,90 giây (= 0,25s, n = 1000).”
Sau đó, các nhà nghiên cứu đã sử dụng cùng một cuộc tấn công Collide + thăm dò để rò rỉ dữ liệu bộ nhớ kernel và thậm chí khôi phục khóa mã hóa từ việc triển khai bảng T lưu trữ kết quả trung gian của các hoạt động mã hóa bằng mật mã AES.
Giảm nhẹ cuộc tấn công
Tin tốt là các cuộc tấn công song sinh có thể được giảm thiểu thông qua nhiều thay đổi chỉ phần cứng, phần cứng và phần mềm và các giải pháp chỉ dành cho phần mềm – bao gồm thiết kế bộ xử lý theo cách cho phép vô hiệu hóa tạm thời cách dự đoán và xóa trạng thái của công cụ dự đoán khi chuyển đổi giữa chế độ kernel và chế độ người dùng.
Đây không phải là lần đầu tiên bộ xử lý AMD bị phát hiện là dễ bị tấn công CPU, bao gồm Bóng ma, buộc công ty phải phát hành một loạt các bản vá.
Vẫn còn phải xem liệu AMD sẽ sửa các lỗi được tô sáng trong nghiên cứu mới. Chúng tôi đã liên hệ với AMD để nhận xét và sẽ cập nhật câu chuyện nếu chúng tôi nghe lại.
.
