劇透:英特爾CPU再曝漏洞
責(zé)編:gltian |2019-03-11 13:41:07研究人員又發(fā)現(xiàn)了一種濫用英特爾CPU預(yù)測(cè)執(zhí)行功能的方法,運(yùn)行進(jìn)程中的秘密和其他數(shù)據(jù)均難逃該計(jì)算風(fēng)險(xiǎn)困擾。
該安全漏洞利用方式多樣,瀏覽器頁面中的惡意JavaScript、系統(tǒng)上運(yùn)行的惡意軟件,或者惡意登入用戶,都可以利用該漏洞從內(nèi)存中抽取口令、密鑰和其他數(shù)據(jù)。攻擊者需先在目標(biāo)主機(jī)中擁有某種形式的據(jù)點(diǎn)才能執(zhí)行該漏洞利用操作。除非重新設(shè)計(jì)芯片,否則該漏洞無法修復(fù)或緩解。
預(yù)測(cè)執(zhí)行即處理器在等待其他計(jì)算任務(wù)完成期間執(zhí)行未來可能或可能不會(huì)用到的任務(wù),該功能也是去年年初曝出的幽靈漏洞的成因。
本月在預(yù)發(fā)布服務(wù)ArXiv上發(fā)表的研究論文《劇透(SPOILER):預(yù)測(cè)載入危害加重Rowhammer和緩存攻擊》中,美國伍斯特理工學(xué)院和德國呂貝克大學(xué)的計(jì)算機(jī)科學(xué)家描述了濫用該性能提升功能的新方法。
研究人員發(fā)現(xiàn),英特爾內(nèi)存子系統(tǒng)專有實(shí)現(xiàn)中地址猜測(cè)功能里的一個(gè)漏洞可致內(nèi)存布局?jǐn)?shù)據(jù)泄露,令Rowhammer之類攻擊更容易展開。
研究人員還檢查了Arm和AMD處理器,但并未發(fā)現(xiàn)相同行為。
我們發(fā)現(xiàn)了一個(gè)全新的微架構(gòu)泄露,能揭示用戶空間進(jìn)程的物理頁面映射。有幾條指令可以利用該漏洞,這些指令存在于所有英特爾處理器中,從第一代Core處理器開始,且與操作系統(tǒng)無關(guān),甚至虛擬機(jī)和沙箱環(huán)境中都有效。
該問題獨(dú)立于幽靈漏洞,現(xiàn)有的緩解措施都無法解決。用戶空間中無需提權(quán)即可利用該漏洞。
“劇透(SPOILER)”這個(gè)名稱不代表什么。研究人員只是挑了個(gè)以“Sp”開頭的名字,因?yàn)檫@是個(gè)因預(yù)測(cè)執(zhí)行( speculative execution )而起的漏洞,且某種程度上破壞了現(xiàn)代CPU上的安全假設(shè)。
“劇透”描述了一種識(shí)別虛擬內(nèi)存和物理內(nèi)存之間關(guān)系的方法:計(jì)量預(yù)測(cè)加載和存儲(chǔ)操作的耗時(shí),找出揭示內(nèi)存布局的差異。
該問題的根源在于內(nèi)存操作的預(yù)測(cè)性執(zhí)行和處理器在完整物理地址位可用時(shí)解析該依賴。物理地址位是安全敏感信息,如果對(duì)用戶空間可用,將會(huì)提升用戶權(quán)限,使其能執(zhí)行其他微架構(gòu)攻擊。
瘋狂的內(nèi)存
現(xiàn)代處理器用內(nèi)存順序緩沖區(qū)管理RAM讀寫操作。該緩沖區(qū)被用于執(zhí)行存儲(chǔ)指令和加載操作。從CPU寄存器拷貝數(shù)據(jù)到主內(nèi)存的存儲(chǔ)指令按照可執(zhí)行代碼中排列的順序執(zhí)行。從主內(nèi)存拷貝數(shù)據(jù)到寄存器的加載操作則是預(yù)測(cè)性亂序執(zhí)行。這么做可使處理器預(yù)先執(zhí)行,推測(cè)性地將信息從RAM中提取到寄存器中——如果其中不涉及依賴問題的話,比如某加載操作依賴之前未完成的存儲(chǔ)指令。
如果物理地址信息不可用,預(yù)測(cè)加載操作可能導(dǎo)致錯(cuò)誤的依賴。英特爾芯片執(zhí)行內(nèi)存消歧以防止對(duì)來自不準(zhǔn)確預(yù)測(cè)的無效數(shù)據(jù)進(jìn)行計(jì)算。
只是,內(nèi)存消歧的功效沒有想象中好。論文中寫道:‘劇透’的根源是英特爾內(nèi)存子系統(tǒng)專有實(shí)現(xiàn)中地址預(yù)測(cè)上的缺陷,因?yàn)槲锢淼刂窙_突,該預(yù)測(cè)會(huì)直接泄露時(shí)序行為。
我們的算法用偏移量相同但處在不同虛擬頁的地址填充處理器的存儲(chǔ)緩沖區(qū)。然后我們發(fā)出偏移量相同但取自不同內(nèi)存頁的內(nèi)存加載指令,計(jì)量加載耗時(shí)。通過在大量虛擬頁面上進(jìn)行迭代,計(jì)時(shí)可以揭示多個(gè)階段的依賴解析失敗信息。
研究人員稱,“劇透”漏洞將使現(xiàn)有Rowhammer和緩存攻擊更加容易,讓基于JavaScript的攻擊更可行——Rowhammer不再需要耗費(fèi)數(shù)周時(shí)間,而是幾秒即可。論文描述了一種基于JavaScript的緩存“預(yù)取+探測(cè)”(prime+probe)技術(shù),該技術(shù)鼠標(biāo)一點(diǎn)即可泄露防不住緩存計(jì)時(shí)攻擊的私密數(shù)據(jù)和加密密鑰。
對(duì)付這種攻擊的緩解措施可能不太容易實(shí)現(xiàn)。軟件緩解方法無法完全消除該問題。芯片架構(gòu)修復(fù)或許有用,但會(huì)出現(xiàn)性能損失。
據(jù)稱,英特爾在2018年12月1日就接到了該漏洞報(bào)告。該芯片制造商并未即時(shí)回應(yīng)評(píng)論請(qǐng)求。漏洞披露論文是負(fù)責(zé)人在披露間隔期后才發(fā)布的。
研究人員懷疑英特爾是否有可行的應(yīng)對(duì)之策。
一旦涉及內(nèi)存子系統(tǒng),任何改變都很艱難,這不是什么用一條微代碼就能修復(fù)的事,性能損耗會(huì)十分巨大。針對(duì)此類攻擊的補(bǔ)丁可能5年內(nèi)都出不來。或許這就是該漏洞還沒納入CVE的原因。
來自英特爾的遲緩回應(yīng)
漏洞消息公布后,英特爾發(fā)言人向媒體表示,期待未來會(huì)出現(xiàn)可防御“劇透”攻擊的應(yīng)用,或者開發(fā)出硬件防護(hù)措施:
英特爾收到了該研究通告,我們認(rèn)為軟件可通過采用邊信道安全開發(fā)實(shí)踐來防止此類問題。具體方法包括避免控制流依賴相關(guān)數(shù)據(jù)。我們還認(rèn)為,抗Rowhammer類攻擊的DRAM模塊也對(duì)該攻擊免疫。保護(hù)我們的客戶及其數(shù)據(jù)一直是英特爾的重中之重,我們非常感謝安全社區(qū)持續(xù)不斷的研究工作。
研究論文:
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧