MSI AMD Game Bundle

Spectre rückwärts: Neue Varianten über den Return Stack Buffer

reported by doelf, Mittwoch der 25.07.2018, 16:14:31 Uhr

Spectre, Spectre und kein Ende: Forscher der Universität des Saarlandes in Saarbrücken und der University of California in Riverside haben weitere Varianten des Spectre-Angriffs auf die spekulative Ausführung moderner Prozessoren dokumentiert. Ansatzpunkt ist diesmal der "Return Stack Buffer" (RSB), wobei eine vorausgesagte Rücksprungadresse manipuliert wird, um dann über bekannte Seitenkanäle Daten abzugreifen.

Entdeckt und dokumentiert wurden die RSB-Angriffe von Giorgi Maisuradze und Christian Rossow vom "Center for IT-Security, Privacy and Accountability" (CISPA) der Universität des Saarlands sowie von Esmaiel Mohammadian Koruyeh, Khaled Khasawneh, Chengyu Song und Nael Abu-Ghazaleh vom "Computer Science and Engineering Department" der University of California, Riverside. Die beiden Forschergruppen scheinen die Fehler unabhängig voneinander gefunden zu haben, wobei die Amerikaner auf die Ergebnisse aus dem Saarland verweisen. Beide Forschergruppen sorgen für eine fehlerhafte Vorhersage der Rücksprungadresse, welche im "Return Stack Buffer" (RSB) abgelegt wird. Dann wird die spekulative Ausführung auf eine bekannte oder - besser noch - vom Angreifer kontrollierte Code-Sequenz umgeleitet. Der Abgriff der Daten erfolgt dann, wie bei den anderen Spectre-Varianten, mit Hilfe von Cache-Manipulationen.

Die Erkenntnisse aus dem Saarland
Die beiden Forscher aus dem Saarland haben zwei Varianten der RSB-basierten Angriffe vorgestellt, welche von den bereits verfügbaren Spectre-Updates für Betriebssysteme unterbunden werden. Wurden keine entsprechenden Updates installiert, lassen sich geschützte Daten auslesen - beispielsweise Passwörter, die andere Benutzer eingeben. Doch auch wenn das Betriebssystem gegen Spectre abgesichert wurde, lassen sich weiterhin JIT-Umgebungen (Just-in-time-Kompilierung) angreifen - das wäre die zweite Variante. Maisuradze und Rossow konnten mit JIT-kompilierten Code, getestet wurde mit JavaScript und WebAssembly im Webbrowser, Speicherbereiche außerhalb der Sandbox auslesen - und das mit einer Erfolgsquote von 80 Prozent. Um dies zu verhindern, müssen die JIT-Kompiler gehärtet werden, wahlweise mit Hilfe der Befehle lfence und mfence oder über eine entsprechende Umsetzung von Retpoline.

Intel, AMD und ARM, Microsoft und Redhat sowie Apple, Google, Microsoft und Mozilla wurden im April 2008 über die RSB-Angriffe informiert. Intel hat die Schwachstellen bestätigt, während AMD und ARM zumindest ein generelles Problem sehen. Mozilla und Google wollen ihre Webbrowser mit Hilfe unscharfer Zeitnahmen weiter absichern und auch Microsoft und Redhat haben diese Angriffe im Blick. Seitens Apple gab es im Laufe der drei Monate gar keine Reaktion.

Die Erkenntnisse aus Kalifornien
Das Team der University of California hat mehrere Angriffsvarianten - "Angriff im selben Prozess", "Angriff über zwei kollidierende Threads (User-Space)", "Angriff über zwei kollidierenden Threads (Kernel-Space)", "Angriffe über die Prozessgrenze hinaus", "Angriffe auf SGX" (Intel Software Guard Extensions) und "Angriff vom User- auf den Kernel-Space" - beschrieben. Dabei zeigte sich, dass lfence, IBRS, STUBP, IBPB und Retpoline die Angriffe nicht verhindern konnten. Lediglich das Auffüllen des RSB und SMEP/SMAP sorgten in einigen Varianten für Abhilfe. Eine Lösung für Angriffe innerhalb des selben Prozesses oder Angriffe auf SGX bieten diese Maßnahmen allerdings auch nicht. Die Amerikaner hatten Intel, AMD und ARM vorab informiert. Ihre Tests fanden, genau wie bei ihren Kollegen aus Deutschland, allerdings nur auf Prozessoren von Intel statt.

Nichts Neues seitens der CPU-Hersteller
AMD und ARM haben ihre Meltdown-/Spectre-Informationen zwar frisch aktualisiert, doch dabei ging es um die Variante "Bounds check bypass stores" (CVE-2018-3693). Intels Informationen datieren indes noch auf den 23. Mai 2018. Hinsichtlich der RSB-basierten Angriffe gibt es derweil noch keine Stellungnahmen.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]