sImplePerson
Member
-
23/03/2020
-
11
-
28 bài viết
Xuất hiện các cuộc tấn công side-chanel mới trên bộ vi xử lý Intel, ARM, IBM, AMD
Các nhà nghiên cứu từ Đại học Công nghệ Graz và Trung tâm Bảo mật Thông tin CISPA Helmholtz đã công bố nguyên nhân gốc rễ khiến các địa chỉ kernel được lưu vào bộ nhớ cache ngay từ đầu cũng như trình bày cách thức tấn công mới khai thác các lỗ hổng chưa được phát hiện trước đây, cho phép tin tặc tìm thấy dữ liệu nhạy cảm.
Theo các chuyên gia, các cuộc tấn công kiến trúc vi mô thực chất bắt nguồn từ việc tham chiếu ngược (dereference) đăng ký người dùng trong nhân kernel. Điều này không chỉ ảnh hưởng đến các CPU Intel mới nhất mà còn tác động đến một số bộ xử lý hiện đại của ARM, IBM và AMD - trước đây được cho là không bị ảnh hưởng.
Các nhà nghiên cứu phát hiện tác động được công bố trong một số bài báo trong 4 năm qua không được hiểu một cách chính xác, dẫn đến những giả định không chính xác để có các biện pháp xử lý thích hợp.
Bên cạnh việc phân tích nguyên nhân gốc rễ thực sự của “tác động tìm nạp trước”, các nhà nghiên cứu còn đề cập thêm nhiều phát hiện quan trọng:
- Phát hiện một số cuộc tấn công mới khai thác nguyên nhân gốc rễ, bao gồm tấn công dịch địa chỉ (rò rỉ trực tiếp các giá trị đăng ký trong các tình huống cụ thể) và khai thác Foreshadow end-to-end nhắm đến mục tiêu dữ liệu không phải L1.
- Một cuộc tấn công kênh bí mật lõi chéo, trong một số trường hợp, có thể cho phép những kẻ tấn công quan sát bộ nhớ đệm của địa chỉ (hoặc giá trị) được lưu trữ trong một thanh ghi mà không cần dựa vào bộ nhớ được chia sẻ.
- Các tiện ích 'tìm nạp trước' của Spectre có thể trực tiếp làm rò rỉ dữ liệu thực tế. Điều này không chỉ làm cho cuộc tấn công ZombieLoad hoạt động hiệu quả trên CPU Intel, làm rò rỉ dữ liệu nhạy cảm từ bộ đệm hoặc bộ nhớ trong, mà còn ảnh hưởng đến các CPU không phải của Intel.
- Với các cuộc tấn công như Rowhammer, tấn công bộ đệm và DRAMA có thể cho phép kẻ tấn công khôi phục địa chỉ vật lý của các biến JavaScript và lọc thông tin thông qua thực thi từ xa bằng trình duyệt web.
Ngoài ra, các nhà nghiên cứu cũng chứng minh lỗ hổng Foreshadow trên CPU Intel có thể bị khai thác ngay cả khi đã có các biện pháp bảo vệ. Điều này xảy ra do cuộc tấn công có thể được gắn trên dữ liệu không nằm trong bộ đệm L1 trên các phiên bản kernel có chứa các tiện ích 'tìm nạp trước'.
Từ tấn công dịch địa chỉ đến tấn công Foreshadow
Phần mềm hệ thống dựa vào cơ chế dịch địa chỉ của CPU để thực hiện cách ly giữa các quy trình khác nhau. Mỗi tiến trình có không gian bộ nhớ ảo riêng và không thể truy cập các địa chỉ bộ nhớ vật lý tùy ý bên ngoài nó.
Do đó, dịch địa chỉ hoạt động như một lớp trung gian ánh xạ không gian địa chỉ ảo, được chương trình sử dụng, với địa chỉ vật lý đến một địa chỉ thực.
Không gian địa chỉ ảo bao gồm một không gian địa chỉ nhân để chứa các luồng nhân Linux, do đó giúp phần cứng bên dưới dễ dàng xử lý các lệnh đặc quyền từ các luồng người dùng trong chế độ kernel.
Nhân của hệ điều hành có thể được bảo vệ trước các cuộc tấn công “tìm nạp trước” thông qua một kỹ thuật tên cách ly nhân (KPTI hoặc KAISER) - thực thi cách ly vùng người dùng và nhân nghiêm ngặt, để phần cứng không lưu giữ bất kỳ thông tin nào về địa chỉ nhân khi chạy ở chế độ người dùng. Tuy nhiên, các nhà nghiên cứu phát hiện điều này không bảo vệ hoàn toàn được nhân trước các cuộc tấn công dịch địa chỉ khi tin tặc kiểm tra hai địa chỉ ảo khác nhau có ánh xạ đến cùng một địa chỉ thực hay không.
Ban đầu, các cuộc tấn công như vậy có thể hiểu là liên quan đến các lệnh tìm nạp trước, nhưng phát hiện mới đã chứng minh ngược lại, kẻ tấn công khai thác một tiện ích Spectre-BTB-SA-IP (Bộ đệm mục tiêu nhánh, cùng địa chỉ, tại chỗ) làm rò rỉ thông tin, gây ra hiện tượng đầu cơ và thực hiện thêm các cuộc tấn công Meltdown và Foreshadow (Lỗi đầu cuối L1) bằng cách bỏ qua các biện pháp giảm nhẹ L1TF.
Spectre-BTB-SA-IP là một biến thể của lỗ hổng Spectre khai thác Bộ đệm mục tiêu nhánh - một thành phần giống như bộ nhớ cache trong các CPU được sử dụng để dự đoán nhánh - để thực hiện các cuộc tấn công trong cùng một không gian địa chỉ và cùng một vị trí nhánh.
Các nhà nghiên cứu cho biết: “Hiệu ứng tìm nạp trước tương tự có thể bị khai thác để tấn công Foreshadow. Nếu có bí mật trong bộ đệm L3 và địa chỉ vật lý bị bỏ sót trong nhân giám sát, dữ liệu có thể được tìm nạp vào L1. Điều này dẫn đến khả năng tấn công Foreshadow ngay cả khi đã kích hoạt các biện pháp bảo vệ trước loại tấn công này nếu các biện pháp bảo vệ Spectre-BTB không liên quan bị tắt".
"Hệ quả là nếu chỉ có các biện pháp giảm nhẹ Spectre-v2 bị vô hiệu hóa, tin tặc có thể thực hiện tấn công Foreshadow trên các nhân cũ hơn đã được vá để chống lại các cuộc Foreshadow hoặc trên một nhân đã được vá hoàn chỉnh".
Để làm rõ tác động của các cuộc tấn công, các nhà nghiên cứu đã thiết lập một kênh bí mật dựa trên bộ nhớ cache để lọc dữ liệu từ một quy trình chạy trên CPU Intel Core i7-6500U sang một quy trình khác, có tốc độ truyền 10 bit/s để chuyển tiếp tổng cộng 128 byte từ người gửi đến quá trình nhận.
Các nhà nghiên cứu cũng tiết lộ thêm có thể làm rò rỉ nội dung thanh ghi từ vùng bao SGX của CPU Intel bằng cách sử dụng một thanh ghi được tham chiếu một cách suy đoán (được gọi là "Dereference Trap"), sử dụng nó để khôi phục giá trị 32-bit được lưu trữ trong thanh ghi 64-bit trong vòng 15 phút.
Cuối cùng, 'một số cuộc tấn công nhất định' có thể được gắn kết từ xa bằng JavaScript trong trình duyệt web và "điền vào sổ đăng ký 64-bit bằng giá trị do kẻ tấn công kiểm soát trong JavaScript bằng cách sử dụng WebAssembly".
Để giảm thiểu các nguy cơ từ phương thức cuộc tấn công này, các CPU hiện tại nên kích hoạt tính năng giảm nhẹ Spectre-BTB, bao gồm retpoline (viết tắt của "return trampoline").
Theo các chuyên gia, các cuộc tấn công kiến trúc vi mô thực chất bắt nguồn từ việc tham chiếu ngược (dereference) đăng ký người dùng trong nhân kernel. Điều này không chỉ ảnh hưởng đến các CPU Intel mới nhất mà còn tác động đến một số bộ xử lý hiện đại của ARM, IBM và AMD - trước đây được cho là không bị ảnh hưởng.
Các nhà nghiên cứu phát hiện tác động được công bố trong một số bài báo trong 4 năm qua không được hiểu một cách chính xác, dẫn đến những giả định không chính xác để có các biện pháp xử lý thích hợp.
Bên cạnh việc phân tích nguyên nhân gốc rễ thực sự của “tác động tìm nạp trước”, các nhà nghiên cứu còn đề cập thêm nhiều phát hiện quan trọng:
- Phát hiện một số cuộc tấn công mới khai thác nguyên nhân gốc rễ, bao gồm tấn công dịch địa chỉ (rò rỉ trực tiếp các giá trị đăng ký trong các tình huống cụ thể) và khai thác Foreshadow end-to-end nhắm đến mục tiêu dữ liệu không phải L1.
- Một cuộc tấn công kênh bí mật lõi chéo, trong một số trường hợp, có thể cho phép những kẻ tấn công quan sát bộ nhớ đệm của địa chỉ (hoặc giá trị) được lưu trữ trong một thanh ghi mà không cần dựa vào bộ nhớ được chia sẻ.
- Các tiện ích 'tìm nạp trước' của Spectre có thể trực tiếp làm rò rỉ dữ liệu thực tế. Điều này không chỉ làm cho cuộc tấn công ZombieLoad hoạt động hiệu quả trên CPU Intel, làm rò rỉ dữ liệu nhạy cảm từ bộ đệm hoặc bộ nhớ trong, mà còn ảnh hưởng đến các CPU không phải của Intel.
- Với các cuộc tấn công như Rowhammer, tấn công bộ đệm và DRAMA có thể cho phép kẻ tấn công khôi phục địa chỉ vật lý của các biến JavaScript và lọc thông tin thông qua thực thi từ xa bằng trình duyệt web.
Ngoài ra, các nhà nghiên cứu cũng chứng minh lỗ hổng Foreshadow trên CPU Intel có thể bị khai thác ngay cả khi đã có các biện pháp bảo vệ. Điều này xảy ra do cuộc tấn công có thể được gắn trên dữ liệu không nằm trong bộ đệm L1 trên các phiên bản kernel có chứa các tiện ích 'tìm nạp trước'.
Từ tấn công dịch địa chỉ đến tấn công Foreshadow
Do đó, dịch địa chỉ hoạt động như một lớp trung gian ánh xạ không gian địa chỉ ảo, được chương trình sử dụng, với địa chỉ vật lý đến một địa chỉ thực.
Không gian địa chỉ ảo bao gồm một không gian địa chỉ nhân để chứa các luồng nhân Linux, do đó giúp phần cứng bên dưới dễ dàng xử lý các lệnh đặc quyền từ các luồng người dùng trong chế độ kernel.
Nhân của hệ điều hành có thể được bảo vệ trước các cuộc tấn công “tìm nạp trước” thông qua một kỹ thuật tên cách ly nhân (KPTI hoặc KAISER) - thực thi cách ly vùng người dùng và nhân nghiêm ngặt, để phần cứng không lưu giữ bất kỳ thông tin nào về địa chỉ nhân khi chạy ở chế độ người dùng. Tuy nhiên, các nhà nghiên cứu phát hiện điều này không bảo vệ hoàn toàn được nhân trước các cuộc tấn công dịch địa chỉ khi tin tặc kiểm tra hai địa chỉ ảo khác nhau có ánh xạ đến cùng một địa chỉ thực hay không.
Ban đầu, các cuộc tấn công như vậy có thể hiểu là liên quan đến các lệnh tìm nạp trước, nhưng phát hiện mới đã chứng minh ngược lại, kẻ tấn công khai thác một tiện ích Spectre-BTB-SA-IP (Bộ đệm mục tiêu nhánh, cùng địa chỉ, tại chỗ) làm rò rỉ thông tin, gây ra hiện tượng đầu cơ và thực hiện thêm các cuộc tấn công Meltdown và Foreshadow (Lỗi đầu cuối L1) bằng cách bỏ qua các biện pháp giảm nhẹ L1TF.
Spectre-BTB-SA-IP là một biến thể của lỗ hổng Spectre khai thác Bộ đệm mục tiêu nhánh - một thành phần giống như bộ nhớ cache trong các CPU được sử dụng để dự đoán nhánh - để thực hiện các cuộc tấn công trong cùng một không gian địa chỉ và cùng một vị trí nhánh.
Các nhà nghiên cứu cho biết: “Hiệu ứng tìm nạp trước tương tự có thể bị khai thác để tấn công Foreshadow. Nếu có bí mật trong bộ đệm L3 và địa chỉ vật lý bị bỏ sót trong nhân giám sát, dữ liệu có thể được tìm nạp vào L1. Điều này dẫn đến khả năng tấn công Foreshadow ngay cả khi đã kích hoạt các biện pháp bảo vệ trước loại tấn công này nếu các biện pháp bảo vệ Spectre-BTB không liên quan bị tắt".
"Hệ quả là nếu chỉ có các biện pháp giảm nhẹ Spectre-v2 bị vô hiệu hóa, tin tặc có thể thực hiện tấn công Foreshadow trên các nhân cũ hơn đã được vá để chống lại các cuộc Foreshadow hoặc trên một nhân đã được vá hoàn chỉnh".
Để làm rõ tác động của các cuộc tấn công, các nhà nghiên cứu đã thiết lập một kênh bí mật dựa trên bộ nhớ cache để lọc dữ liệu từ một quy trình chạy trên CPU Intel Core i7-6500U sang một quy trình khác, có tốc độ truyền 10 bit/s để chuyển tiếp tổng cộng 128 byte từ người gửi đến quá trình nhận.
Các nhà nghiên cứu cũng tiết lộ thêm có thể làm rò rỉ nội dung thanh ghi từ vùng bao SGX của CPU Intel bằng cách sử dụng một thanh ghi được tham chiếu một cách suy đoán (được gọi là "Dereference Trap"), sử dụng nó để khôi phục giá trị 32-bit được lưu trữ trong thanh ghi 64-bit trong vòng 15 phút.
Cuối cùng, 'một số cuộc tấn công nhất định' có thể được gắn kết từ xa bằng JavaScript trong trình duyệt web và "điền vào sổ đăng ký 64-bit bằng giá trị do kẻ tấn công kiểm soát trong JavaScript bằng cách sử dụng WebAssembly".
Để giảm thiểu các nguy cơ từ phương thức cuộc tấn công này, các CPU hiện tại nên kích hoạt tính năng giảm nhẹ Spectre-BTB, bao gồm retpoline (viết tắt của "return trampoline").
Theo The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: