Nowy atak na procesory Intela – odczytasz co zechcesz, uprawnień admina nie trzeba

Tak jak przewidywali odkrywcy ataków Meltdowni Spectre, na nich proces odkrywania podatności typuside-channel w nowoczesnych procesorach się nie skończy. W lutymdostaliśmy ulepszone ataki MeltdownPrimei SpectrePrime, na początku marca zneutralizowano zabezpieczeniaSGX w procesorach Intela za pomocą ataku SgxSpectre, a teraz możemyzapoznać się z kolejnym spektakularnym atakiem BranchScope,wymierzonym w kierunkowy predyktor rozgałęzień, który pozwaladość łatwo uzyskać wrażliwe informacje z procesorów Intela i wpewnych aspektach przypomina Spectre.

Grupa amerykańskich badaczy – Dmitrij Jewtiuszkin, NaelAbu-Ghazaleh, Ryan Riley i Dmitrij Ponomarew – po pół roku badańopublikowała na łamach branżowego periodyku Proceedings of 2018Architectural Support for Programming Languages and Operating Systemspiętnastronicowy artykuł,którego sam tytuł mógł wywołać zimny pot na czole menedżerówIntela. BranchScrope: A New Side-Channel Attack on DirectionalBranch Predictor podejmuje analizę scenariusza, w którymnapastnik wnioskuje o kierunku rozgałęzień w programie ofiarymanipulując współdzielonym kierunkowym predyktorem rozgałęzień.

Jest to zbliżona do Spectre, ale mimo to odmienna metoda ataku:tam atakowany był bowiem bufor rozgałęzień celu (BTB), tutajuderza się w element procesora, który przechowuje przewidywania dladanej gałęzi (obrana lub pozostawiona) i decyduje, którespekulatywne operacje wykonać. Napastnik nie musi przy tymszczegółowo wiedzieć, jak zbudowany jest taki predyktor w całejjego złożoności – może go zmusić do działania w trybieuproszczonym, ułatwiając sobie w ten sposób pozyskanie wrażliwychinformacji.

Za pomocą BranchScrope udało się wydobyć informacje z SGX,sprzętowej enklawy nowych procesorów Intela. Przeprowadzono teżskuteczne ataki na procesory w architekturach Sandy Bridge, Haswell iSkylake. Badacze podkreślają, że skuteczność jest bardzo wysoka– odsetek błędnie odczytanych informacji nie przekracza 1%, a conajważniejsze, do przeprowadzenia ataku nie potrzeba uprawnieńadministracyjnych w systemie, atak taki można przeprowadzić zprzestrzeni użytkownika, np. poprzez przeglądarkę uruchamiającązłośliwy kod na stronie internetowej.

Zabezpieczenia? Nie, nie ma żadnych zabezpieczeń. Przygotowaneprzez Intela łatki na Spectre nie działają na BranchScope. Trzebaprzygotować nowe łatki, zarówno na poziomie software’owym isprzętowym. By pomóc nękanemu sprzętowymi lukami producentowi,odkrywcy w swoim artykule dokładnie opisali, jak takie łatkipowinny działać.

Intel tymczasem… jest nieco innego zdania. Rzecznik firmyogłosił, że ustalono, że opisane w artykule metody są podobne dowcześniej stosowanych exploitów, i wykorzystanie stworzonychwcześniej zabezpieczeń software’owych dla Spectre (wariant 1)będzie przeciwko nim równie efektywne. Podziękował badaczom zapracę i podkreślił, że bliska współpraca ze społecznościąnaukową jest jedną z najlepszych metod ochrony klientów i ichdanych.

Zainteresowani tym, jak w przybliżeniu działają ataki napredyktory rozgałęzień powinni obejrzeć koniecznie powyższewideo, przygotowane przez dział prasowy Intela. Dotyczy ono Spectre(wariant 2), ale ta wizualizacja człowieczka machającego flagą,przejętego przez napastników, całkiem obrazowo pasuje też doBranchScope.