LVI-LFB-attack

I jakten på allt snabbare processorer har leverantörer implementerat olika versioner av spekulativ exekvering. Den här funktionen låter processorn göra välgrundade gissningar om instruktioner som kan krävas innan man avgör om de faktiskt är nödvändiga. Den här spekulativa körningen kan lämna spår i cachen som angripare kan använda för att läcka privilegierat kärnminne.

Det som gör forskningen kring dessa attacker banbrytande jämfört med cyberattacker mot mer traditionella sårbarheter är att den går till botten med hur moderna processorer fungerar. För att undersöka ordentligt måste forskarlag ha en grundlig förståelse av CPU-interna komponenter (branch-prediktion, out-of-order exekvering, spekulativ exekvering, pipeline och cachar), OS-interna komponenter (systemanrop, avbrotts- och undantagshantering och KPTI) och sidokanaler och spekulativa exekveringsattacker i allmänhet.

• LVI-LFB vitbok
• LVI-LFB Proof of Concept
• SWAPGS-attack:

Den här nya attacktekniken kallas Load Value Injection och den CVE som tilldelats den är CVE-2020-0551.

Forskare har tidigare tittat på MDS (Microarchitectural Data Sampling) endast från ett håll: offret öppnar hemligheten, som laddas i MDS-buffertarna, medan angriparen läcker innehållet i MDS-buffertarna genom att utfärda en laddningsinstruktion som kräver mikrokodhjälp (till exempel genom att läsa en ogiltig adress). Men MDS-buffertarna kan också missbrukas tvärtom: om en angripare sprayar MDS-buffertarna med ett visst värde, kan ett offer spekulativt ladda det specifika värdet när en laddningsinstruktion utlöser en sådan mikrokodassistans (till exempel utlöser laddningsinstruktionen ett fel). Genom att noggrant analysera vad Spectre är och vad MDS är, kan ett skarpt öga snabbt identifiera grundorsaken till den nya LVI-LFB-sårbarheten, en indirekt minnesgren som kräver en mikrokodassistans som matas med föråldrade värden från MDS-buffertar som kan kontrolleras av en angripare, vilket leder till spekulativ godtycklig kodexekvering.

Andra attackscenarier har beskrivits av akademiska forskare som oberoende upptäckte och först rapporterade problemet till Intel i april 2019. Bitdefender rapporterade problemet till Intel den 10 februari 2020. Deras svar den 25 februari erkände problemet och avslöjade också att offentliggörandet skulle ske den 10 mars 2020.

Begränsningsstrategier för hårdvarubaserade sidokanalsattacker faller under flera kategorier, var och en med en viss operativ påverkan på organisationer.

1. Hårdvara. Det här är korrigeringar som ingår direkt i hårdvaran och gäller endast generationer av processorer som byggdes efter att de arkitektoniska bristerna identifierats.
2. Programvara. Det här är patchimplementeringar som fungerar helt inom programvaran. Kernel Page Table Isolation (KPTI) är ett exempel på en fix som skyddar kärnminnet i ett isolerat virtuellt adressutrymme, vilket gör flera spekulativa sidokanalsattacker, såsom Meltdown, ineffektiva. För att vara effektiv mot app-till-app LVI-LFB behövs dock en ny typ av KPTI – horisontell KPTI. Alternativt måste operativsystemet också spola MDS-buffertarna (särskilt LFB) vid övergång från ett mindre privilegierat läge till ett mer privilegierat läge, för att undvika att mikrokodassisterad minnesåtkomster från att exekveras spekulativt med angriparkontrollerad data
3. Mikrokod. Dessa begränsningar kräver samarbete mellan hårdvara och programvara. Hårdvaruleverantören tillhandahåller en mikrokodpatch för att exponera ny funktionalitet (till exempel Spectre-, L1TF- eller MDS-begränsningarna) som sedan används av hypervisorn eller operativsystemsleverantörerna för att avhjälpa sårbarheterna.
4. Inaktivera funktioner. Att inaktivera hyperthreading är en bra idé på system där säkerheten är avgörande, liksom att serialisera alla kritiska belastningsoperationer med hjälp av instruktionen lfence. Andra begränsningar kan innebära modifieringar av kompilatorerna, för att generera kod som inte är sårbar för sådana typer av attacker.

En annan sidokanalattack som upptäcktes av Bitdefender, SWAPGS-attacken kan mildras med hjälp av Bitdefender Hypervisor Introspection.