新型 CPU 側信道攻擊 SpectreRSB 現身

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

上周，加州大學河濱分校的研究人員公布了新型Spectre類攻擊SpectreRSB的詳情。

和所有Spectre類攻擊一樣，SpectreRSB 利用的也是推斷性執行的進程。該功能存在於所有現代 CPU 中，通過提前計算操作之後摒棄不需要的數據而改進性能。

針對 CPU 的 RSB 發動攻擊

SpectreRSB 和此前的 Spectre 類攻擊之間的區別在於，SpectreRSB 通過攻擊這個「推斷性」常式即 RSB（ReturnStack Buffer，返回堆棧緩衝區）中涉及的不同 CPU 組件而恢復推斷性執行進程中的數據。之前的 Spectre 攻擊針對的是分支預測單元或部分 CPU 緩存。

在 CPU 的架構中，RSB 是推斷性執行常式涉及的一個組件，它通過預測 CPU 嘗試提前計算操作的返回地址運作，是「推斷性」的一部分。

上周，研究人員發布研究論文表示，該攻擊能夠污染 RSB 代碼控制返回地址並投毒 CPU 的推斷性執行常式。

由於 RSB 在位於同一個虛擬進程器執行的硬體線程中共享，因此這種污染導致進程間甚至是虛擬機間的 RSB 污染。

通過 SpectreRSB 從 Intel SGX 中恢複數據

在研究論文中，UCR 研究人員說明了三種攻擊，它們通過 SpectreRSB 攻擊污染 RSB 並獲得對本不應查看的數據的訪問許可權。

例如，兩種攻擊污染了 RSB，暴露並恢復在同一 CPU 上運行的其它應用中的數據。第三種攻擊污染了 RSB以「引發錯誤推斷，將數據暴露在 SGX 分區外」。最後一種攻擊產生的問題讓人擔憂，因為 Intel SGX 是處理敏感數據的硬體隔離安全飛地，是 Intel CPU 向 app 開發人員提供的最高保護形式之一。

研究人員表示不僅將問題告知英特爾，還告知 AMD 和 ARM。研究人員表示雖然僅在英特爾 CPU 中測試了 SpectreRSB，但由於 AMD 和 ARM 處理器同時使用 RSB 預測返回地址，因此 AMD 和 ARM 處理器也很可能受影響。Red Hat 也正在調查此事。

攻擊繞過此前的 Spectre 補丁

研究人員表示，很重要的一點是，已知的防禦措施包括 Retpoline 和英特爾的微碼補丁均無法阻止所有的 SpectreRSB 攻擊。這意味著，如果受害者的計算機已接收補丁而威脅人員想從中恢複數據，那麼就能更新原始 Spectre 代碼攻擊 RSB 以繞過設備所有人應用的任意防禦措施。

但研究人員指出，英特爾已推出阻止針對某些 CPU 攻擊的補丁，但並未向所有處理器推出。

研究人員在說明一個不相關 bug 的修復方案時指出，特別是在 Core-i7 Skylake 和更新的處理器上，補丁 RSB refilling 用於解決 RSB 底部填充時的漏洞。這種防禦干擾了 SpectreRSB 發動切換到內核的攻擊能力。研究人員建議在所有機器上使用該補丁以防止 SpectreRSB。

然而，英特爾發布聲明稱，SpectreRSB 可通過現有的緩解措施修復。聲明指出，「SpectreRSB 和分支目標註入 (Branch Target Injection) (CVE-2017-5715) 之間存在關聯，我們認為這篇論文中提到的利用也可通過同樣方式得以緩解。我們已經在白皮書《推斷性執行側信道緩解》中公布了開發者指南。非常感謝研究社區持續做出的工作，幫助我們保護消費者的安全。」

每個月，Spectre 和 Meltdown 類攻擊都在增長，而且越來越難以追蹤。如下是關於所有最近研究和漏洞情況的一些信息。

除以上表格說明的攻擊外，還存在其它基於這些攻擊之上的攻擊或規模更小的攻擊變種，包括從 SMM、SgxSpectre、BranchScope、MeltdownPrime 和 SpectrePrime 以及 Lazy FP 中恢複數據的 Spectre 變種。

https://www.bleepingcomputer.com/news/security/researchers-detail-new-cpu-side-channel-attack-named-spectrersb/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！