Nó chỉ ra rằng nguyên nhân sâu xa đằng sau một số cuộc tấn công thực thi đầu cơ được tiết lộ trước đây chống lại các bộ xử lý hiện đại, chẳng hạn như Tan chảy và Báo trước, đã được phân bổ sai thành ‘hiệu ứng tìm nạp trước’, dẫn đến việc các nhà cung cấp phần cứng phát hành các biện pháp giảm thiểu và đối phó không hoàn chỉnh.
Chia sẻ những phát hiện của mình với The Hacker News, một nhóm học giả từ Đại học Công nghệ Graz và Trung tâm Bảo mật Thông tin CISPA Helmholtz cuối cùng đã tiết lộ lý do chính xác đằng sau lý do tại sao các địa chỉ hạt nhân được lưu vào bộ nhớ cache ngay từ đầu, cũng như đưa ra một số cuộc tấn công mới. khai thác vấn đề tiềm ẩn chưa được xác định trước đó, cho phép kẻ tấn công đánh hơi dữ liệu nhạy cảm.
Các nghiên cứu mới giải thích Các cuộc tấn công vi kiến trúc thực sự được gây ra bởi sự suy đoán tham chiếu đến các đăng ký không gian người dùng trong nhân, điều này không chỉ ảnh hưởng đến các CPU Intel mới nhất với các biện pháp giảm thiểu phần cứng mới nhất mà còn cả một số bộ xử lý hiện đại của ARM, IBM và AMD – trước đây được cho là không bị ảnh hưởng .
Các nhà nghiên cứu nói với The Hacker News: “Chúng tôi phát hiện ra rằng các tác động được báo cáo trong một số bài báo học thuật trong 4 năm qua không được hiểu đúng, dẫn đến các giả định không chính xác về các biện pháp đối phó.
“Điều này hiệu ứng tìm nạp trước thực sự không liên quan đến các hướng dẫn tìm nạp trước phần mềm hoặc các hiệu ứng tìm nạp trước phần cứng do truy cập bộ nhớ và thay vào đó là do sự hủy bỏ đầu cơ của các thanh ghi không gian người dùng trong kernel. “
Bên cạnh việc phân tích nguyên nhân gốc thực sự của hiệu ứng tìm nạp trước, một số kết quả chính khác từ nghiên cứu là:
- Khám phá một số cuộc tấn công mới khai thác nguyên nhân gốc cơ bản, bao gồm cuộc tấn công dịch địa chỉ trong các ngữ cảnh hạn chế hơn, rò rỉ trực tiếp các giá trị đăng ký trong các tình huống cụ thể và khai thác Foreshadow đầu cuối nhắm mục tiêu dữ liệu không phải L1.
- Một cuộc tấn công kênh bí mật xuyên lõi mới, trong một số trường hợp, có thể cho phép những kẻ tấn công quan sát bộ nhớ đệm của địa chỉ (hoặc giá trị) được lưu trữ trong một sổ đăng ký mà không cần dựa vào bộ nhớ được chia sẻ.
- Các tiện ích ‘tìm nạp trước’ có thể rò rỉ trực tiếp dữ liệu thực tế, điều này không chỉ làm cho Tấn công ZombieLoad hiệu quả trên CPU Intel để làm rò rỉ dữ liệu nhạy cảm từ bộ đệm hoặc bộ nhớ trong nhưng cũng ảnh hưởng đến các CPU không phải của Intel.
- Vấn đề hội nghị đầu cơ – trong một số cuộc tấn công như Rowhammer, các cuộc tấn công bộ đệm và DRAMA – có thể cho phép kẻ tấn công khôi phục địa chỉ vật lý của các biến JavaScript và lọc thông tin qua thực hiện nhất thời từ xa thông qua trình duyệt web.
Ngoài ra, các nhà nghiên cứu cũng chứng minh rằng lỗ hổng Foreshadow trên CPU Intel có thể bị khai thác ngay cả khi các biện pháp giảm thiểu được khuyến nghị được kích hoạt. Điều này có thể thực hiện được do cuộc tấn công có thể được gắn trên dữ liệu không nằm trong bộ đệm L1 trên các phiên bản hạt nhân có chứa các tiện ích ‘tìm nạp trước’.
Từ tấn công dịch địa chỉ đến báo trước
Ý tưởng đằng sau này là thẳng thắn. Phần mềm hệ thống dựa trên cơ chế dịch địa chỉ của CPU để thực hiện cách ly giữa các quy trình khác nhau. Mỗi tiến trình có không gian bộ nhớ ảo riêng và không thể truy cập các địa chỉ bộ nhớ vật lý tùy ý bên ngoài nó.
Do đó, dịch địa chỉ hoạt động như một lớp trung gian ánh xạ không gian địa chỉ ảo, được sử dụng bởi một chương trình, đến địa chỉ vật lý thành địa chỉ vật lý.
Không gian địa chỉ ảo cũng bao gồm một không gian địa chỉ kernel để chứa các luồng nhân Linux, do đó giúp phần cứng bên dưới dễ dàng xử lý các hướng dẫn đặc quyền từ các luồng của người dùng trong chế độ kernel.
Trong khi các hạt nhân của hệ điều hành có thể được bảo mật chống lại các cuộc tấn công kênh bên tìm nạp trước thông qua một kỹ thuật được gọi là cách ly bảng trang hạt nhân (KPTI hoặc là KAISER) – thực thi cách ly nhân và không gian người dùng nghiêm ngặt sao cho phần cứng không chứa bất kỳ thông tin nào về địa chỉ kernel khi chạy ở chế độ người dùng – các nhà nghiên cứu nhận thấy rằng nó không đảm bảo bảo vệ hoàn toàn khỏi các cuộc tấn công dịch địa chỉ, nơi kẻ tấn công cố kiểm tra nếu hai địa chỉ ảo khác nhau ánh xạ đến cùng một địa chỉ thực.
Nói cách khác, “cuộc tấn công dịch địa chỉ cho phép các ứng dụng không có đặc quyền tìm nạp các địa chỉ nhân tùy ý vào bộ đệm và do đó phân giải địa chỉ ảo thành địa chỉ vật lý trên hệ thống Linux 64-bit.”
Mặc dù luồng suy nghĩ ban đầu là các cuộc tấn công như vậy có liên quan đến các hướng dẫn tìm nạp trước, nhưng phát hiện mới đã chứng minh ngược lại, do đó xác nhận rằng KAISER không phải là một biện pháp đối phó thích hợp chống lại các cuộc tấn công kênh phụ vi kiến trúc đối với sự cô lập hạt nhân.
Thay vào đó, nó khai thác một tiện ích Spectre-BTB-SA-IP (Bộ đệm mục tiêu chi nhánh, cùng địa chỉ, tại chỗ) để gây rò rỉ thông tin, gây ra sự thực thi đầu cơ và tiếp tục thực hiện các cuộc tấn công Meltdown và Foreshadow (L1 Terminal Fault) bằng cách bỏ qua dòng điện Giảm nhẹ L1TF.
Spectre-BTB-SA-IP là một biến thể của Lỗ hổng Spectre khai thác Bộ đệm mục tiêu nhánh – một thành phần giống như bộ nhớ cache trong các CPU được sử dụng để dự đoán nhánh – để thực hiện các cuộc tấn công trong cùng một không gian địa chỉ và cùng một vị trí nhánh.
“Các hiệu ứng tìm nạp tương tự có thể được sử dụng để thực hiện Foreshadow”, các nhà nghiên cứu cho biết. “Nếu có bí mật trong bộ nhớ đệm L3 và địa chỉ bản đồ vật lý trực tiếp bị bỏ sót trong nhân siêu giám sát, dữ liệu có thể được tìm nạp vào L1. Điều này sẽ kích hoạt lại Foreshadow ngay cả khi đã bật tính năng giảm thiểu Foreshadow nếu các giảm thiểu Spectre-BTB không liên quan bị tắt. “
“Hậu quả là chúng tôi có thể thực hiện một cuộc tấn công Foreshadow vào các hạt nhân cũ hơn được vá với Foreshadow với tất cả các giảm thiểu được kích hoạt và trên một hạt nhân được vá hoàn toàn nếu chỉ giảm thiểu Spectre-v2.”
Kích hoạt giảm thiểu Spectre-BTB như Retpoline
Để làm nổi bật tác động của các cuộc tấn công kênh bên, các nhà nghiên cứu đã thiết lập một kênh bí mật dựa trên bộ nhớ cache để lọc dữ liệu từ một quy trình chạy trên CPU Intel Core i7-6500U sang một quy trình lén lút khác, đạt được tốc độ truyền 10 bit / s để chuyển tiếp tổng cộng 128 byte từ người gửi đến quá trình nhận.
Hơn nữa, các nhà nghiên cứu tiết lộ rằng có thể rò rỉ nội dung đăng ký từ một bộ CPU Intel của SGX bằng cách sử dụng một thanh ghi được quy định cụ thể (gọi là “Bẫy Dereference”), sử dụng nó để khôi phục giá trị 32 bit được lưu trữ trong một thanh ghi 64 bit trong 15 phút.
Cuối cùng, ‘các cuộc tấn công nhất định’ hiện có thể được gắn kết từ xa bằng cách sử dụng JavaScript trong trình duyệt web và “điền vào các thanh ghi 64 bit với giá trị do kẻ tấn công kiểm soát trong JavaScript bằng cách sử dụng WebAssugging.”
Để giảm thiểu các cuộc tấn công này, các CPU hiện tại nên bật tính năng giảm nhẹ Spectre-BTB, bao gồm retpoline (viết tắt của “return trampoline”), nhằm mục đích ngăn chặn tiêm mục tiêu nhánh bằng cách cô lập chi nhánh gián tiếp từ thực hiện đầu cơ.
