SPECTRERSB: ЕЩЕ ОДИН ВАРИАНТ АТАКИ ПО СТОРОННЕМУ КАНАЛУ

Исследователи из Калифорнийского университета в Риверсайде опубликовали подробности новой уязвимости в механизме спекулятивного выполнения инструкций, который присутствует во всех современных процессорах. Из-за схожести со Spectre эта брешь получила наименование SpectreRSB; атака в данном случае проводится путем манипуляций с буфером в стеке возвратов (Return Stack Buffer, RSB).

В ходе спекулятивного выполнения этот компонент используется для предсказания адреса возврата из процедуры. Результаты предсказания на какое-то время оседают в процессорном кэше, и их потенциально можно восстановить.

Чтобы получить содержимое закрытых областей памяти в обход песочниц, автору атаки, по словам исследователей, придется засорить RSB данными с целевым адресом. При выполнении процесса жертвы этот адрес будет использоваться в спекулятивных операциях. В итоге атакующий сможет восстановить результаты обращения по заданному им адресу, применяя метод определения содержимого кэша по сторонним каналам.

Поскольку RSB совместно используется потоками виртуального процессора, новая Spectre-подобная атака позволяет также получить данные из других процессов и виртуальных машин. Как показало тестирование, перед SpectreRSB бессильна даже специализированная защита Intel SGX (Software Guard eXtensions).

Новый способ Spectre-атаки был опробован только на процессорах Intel, результаты уже доведены до сведения вендора. Соответствующие отчеты были также направлены в AMD и ARM, так как их продукты тоже используют RSB.

Исследователи утверждают, что от атак SpectreRSB нельзя защититься никакими существующими средствами, здесь не поможет ни обновленный микрокод Intel, ни универсальный метод Google — Retpoline. Вместе с тем в опубликованной работе отмечено, что в некоторых процессорах Intel имеется механизм, способный воспрепятствовать эксплойту SpectreRSB. В частности, в Core-i7 с микроархитектурой Skylake и новее реализована технология, которую вендор называет RSB refilling — повторное заполнение буфера RSB. Перезапись адресов возврата при переключении контекста между пространством пользователя и памятью ядра позволит, по мнению исследователей, эффективно пресечь утечку важных данных в ходе атаки SpectreRSB.

В Bleeping Computer тоже обеспокоены появлением новой проблемы, затрагивающей весь современный компьютерный парк. В Intel был направлен запрос о комментарии, который вернул следующее заявление: “SpectreRSB схожа с Branch Target Injection (CVE-2017-5715), и описанные в данной работе эксплойты, по нашим представлениям, можно ограничить таким же образом. Соответствующие рекомендации для разработчиков уже опубликованы в брошюре Speculative Execution Side Channel Mitigations“.