Как и другие атаки «класса Spectre», SpectreRSB использует метод спекулятивного исполнения канала, который поддерживается всеми современными процессорами. Данная технология позволяет заблаговременно выполнять вычислительные операции, а затем отбрасывать ненужные данные.
Новая атака Spectre нацелена на область RSB
Основное отличие SpectreRSB от других атак «класса Spectre» заключается в том, что SpectreRSB восстанавливает данные из процесса спекулятивного исполнения за счет атаки на другой компонент процессора, задействованный в «прогнозировании» - буфер стека возвратов (Return Stack Buffer, RSB). Предыдущие атаки Spectre были нацелены на предсказатель переходов или области процессорного кэша.
В архитектуре современных процессоров компонент RSB вовлечен в процессы спекулятивного исполнения и занимается прогнозированием адреса возврата операции, которую процессор пытается вычислить заранее.
Исследователям из университета в Риверсайде удалось модифицировать код RSB, чтобы получить контроль над адресами возврата и нарушить процессы спекулятивного исполнения.
Так как компонент RSB используется одновременно несколькими аппаратными потоками, которые выполняются на одном и том же виртуальном процессоре, то данная уязвимость позволяет осуществлять «загрязнение» RSB между процессами и даже между виртуальными машинами.
SpectreRSB может использоваться для восстановления данных из Intel SGX
В своем отчете исследователи описали три типа атак, которые могут использовать уязвимость SpectreRSB, чтобы модифицировать RSB и получит доступ к данным, которые не предназначены для просмотра.
Например, в двух атаках экспертам удалось изменить код RSB для раскрытия и восстановления данных из других приложений, работающих на одном процессоре. В третьей атаки модификация RSB «вызывала ошибку спекулятивных вычислений, которая позволяла получить данные за пределами ячейки SGX».
Последняя атака представляет большую проблему, потому что Intel SGX (Software Guard Extensions) — это защищенные аппаратно-разделенные области, которые предназначены для обработки конфиденциальных данных. Технология SGX предоставляет один из самых высоких уровней защиты, которую процессоры Intel предоставляют разработчикам приложений.
Исследователи сообщили об обнаруженной уязвимости компаниям Intel, AMD и ARM. Однако, тестирование проходило только на процессорах Intel. Учитывая, что процессоры Intel и ARM также используют компонент RSB для прогнозирования адресов возврата, то, скорее всего, они также подвержены данной уязвимости. Red Hat также приступила к расследованию проблемы.
Предыдущие патчи Spectre не помогут
Исследователи из Калифорнийского университета в Риверсайде отмечают:
Важно помнить, что ни одна из известных мер устранения рисков против Spectre, включая технику Retpoline и обновления микропрограммы Intel не может остановить атаки SpectreRSB.
Это означает, что злоумышленник, который хочет восстановит данные с ПК жертвы, на котором установлены патчи против Spectre, получит возможность обновить оригинальный код Spectre, чтобы нацелить компонент RSB на обход любых защитных мер, применяемых владельцем устройства.
С другой стороны, исследователи сообщают, что Intel разработала патч, который останавливает данную атаку на некоторых процессорах, но он не был развернут на всех процессорах производителя:
В частности, на Core-i7 Skylake и более новых процессорах (не включая линейку Xeon) патч под названием RSB refilling используется для устранения уязвимости в случае неполного заполнения RSB.
Данная защитная мера блокирует SpectreRSB возможность запускать атаки, которые переключаются в ядро. Мы рекомендуем использовать этот патч на всех компьютерах для защиты от SpectreRSB
Тем не менее, официальная позиция Intel расходится с мнением исследователей. Компания уверена, что данные методы устранения рисков не могут предотвратить атаки SpectreRSB:
SpectreRSB связана с манипуляцией целевым кэшем адресов ветвлений (Branch Target Injection, CVE-2017-5715). Мы считаем, что эксплойты, описанные в отчете могут быть устранены аналогичным образом. Мы уже опубликовали инструкции для разработчиков в техническом документе «Speculative Execution Side Channel Mitigations». Мы благодарны за текущую работу исследовательского сообщества. Мы работает в тесном сотрудничестве, чтобы улучшить защиту наших клиентов.
Список раскрытых атак Meltdown и Spectre пополняется каждый месяц, отслеживать их становится все сложнее. Ниже представлена таблица со сводной информацией по уязвимостям.
| Вариант | Описание | CVE | Кодовое имя | Затронутые CPU | Подробности |
|---|---|---|---|---|---|
| Variant 1 | Bounds check bypass - обход проверки границ | CVE-2017-5753 | Spectre v1 | Intel, AMD, ARM | Веб-сайт |
| Variant 1.1 | Bounds check bypass on stores - обход проверки границ хранилища | CVE-2018-3693 | Spectre 1.1 | Intel, AMD, ARM | Paper |
| Variant 1.2 | Read-only protection bypass - обход защиты от внесения изменений | CVE unknown | Spectre 1.2 | Intel, AMD, ARM | Paper |
| Variant 2 | Branch target injection - манипуляция целевым кэшем адресов ветвлений | CVE-2017-5715 | Spectre v2 | Intel, AMD, ARM | Веб-сайт |
| Variant 3 | Rogue data cache load - оседание данных в кэше после отмены операции | CVE-2017-5754 | Meltdown | Intel, ARM | Веб-сайт |
| Variant 3a | Rogue system register read - чтение содержимого системных регистров | CVE-2018-3640 | - | Intel, AMD, ARM, IBM | Mitre |
| Variant 3a | Speculative store bypass - обход спекулятивного сохранения | CVE-2018-3639 | SpectreNG | Intel, AMD, ARM, IBM | Блог Microsoft |
| - | Return Mispredict - возвращение неверных значений прогнозирования | - | SpectreRSB | Intel, AMD, ARM | Paper |
По материалам Bleeping Computer
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов