Ataque de canal lateral de CPU denominado SpectreRSB
Académicos de la Universidad de California en Riverside UCR publicaron detalles sobre un nuevo ataque de la clase SpectreRSB
Al igual que todos los ataques de "clase SpectreRS", SpectreRSB aprovecha el proceso de ejecución especulativa , una característica que se encuentra en todas las CPU modernas y que tiene el papel de mejorar el rendimiento mediante operaciones informáticas por adelantado y descartar datos innecesarios.
El nuevo ataque de espectro ataca a un RSB de CPU
La diferencia con los ataques anteriores tipo SpectreRSB es que SpectreRSB recupera datos del proceso de ejecución especulativa atacando un componente de CPU diferente involucrado en esta rutina de "especulación", es decir, el búfer de pila de retorno (RSB). Los ataques de Espectros anteriores se han dirigido a la unidad de predicción de bifurcación o a partes de la memoria caché de la CPU.
En la gran arquitectura de una CPU, la RSB es un componente que está involucrado en la rutina de ejecución especulativa y funciona al predecir la dirección de retorno de una operación que la CPU intenta calcular de antemano, como parte de su "especulación".
En un trabajo de investigación publicado la semana pasada, los investigadores de UCR dijeron que podrían contaminar el código RSB para controlar la dirección de retorno y envenenar la rutina de ejecución especulativa de una CPU
Debido a que el RSB se comparte entre los hilos de hardware que se ejecutan en el mismo procesador virtual, esta contaminación permite la contaminación entre procesos, e incluso entre VM, del RSB.
SpectreRSB se puede utilizar para recuperar datos de Intel SGX
En su trabajo de investigación, los investigadores de UCR han descrito tres ataques que pueden usar un ataque SpectreRSB para contaminar el RSB y obtener acceso a datos que no debían ver.
Por ejemplo, en dos ataques, contaminaron el RSB para exponer y recuperar datos de otras aplicaciones que se ejecutan en la misma CPU, y en un tercero, contaminaron el RSB "para causar una especulación que expone los datos fuera de un compartimento SGX".
Este último ataque es importante porque Intel SGX (Software Guard eXtensions) son enclaves seguros separados por hardware para procesar datos confidenciales, una de las formas más importantes de protección que las CPU de Intel ofrecen a los desarrolladores de aplicaciones.
Los investigadores dijeron que informaron el problema a Intel, pero también a AMD y ARM. Los investigadores dicen que solo probaron SpectreRSB en las CPU de Intel, pero debido a que los procesadores AMD y ARM también usan RSB para predecir las direcciones de retorno, lo más probable es que también se vean afectadas. Red Hat también está investigando el problema.
El ataque pasa por alto los parches de Spectre anteriores
"Es importante destacar que ninguna de las defensas conocidas, incluidos Retolín y parches de microcódigo de Intel detienen todos los ataques SpectreRSB", dicen los investigadores de UCR.
Esto significa que un actor de amenazas que quiere recuperar datos de la PC de una víctima que recibió parches de Spectre puede actualizar su código original de Spectre para apuntar al RSB y eludir las medidas defensivas aplicadas por el propietario del dispositivo.
Pero los investigadores también señalan que Intel tiene un parche que detiene este ataque en algunas CPU, pero que no se ha extendido a todos sus procesadores.
"En particular, en Core-i7 Skylake y los procesadores más nuevos (pero no en la línea de procesadores Xeon de Intel), un parche llamado reabastecimiento de RSB se usa para abordar una vulnerabilidad cuando el RSB está incompleto", dicen los investigadores describiendo una solución para un error no relacionado.
"Esta defensa interfiere con la capacidad de SpectreRSB de lanzar ataques que se convierten en kernel. Recomendamos que este parche se use en todas las máquinas para proteger contra SpectreRSB".
SpectreRSB está relacionado con Branch Target Injection (CVE-2017-5715), y esperamos que los exploits descritos en este documento se mitiguen de la misma manera. Ya hemos publicado una guía para desarrolladores en el documento técnico, Mitigaciones del canal lateral de ejecución especulativa . Estamos agradecidos por el trabajo continuo de la comunidad de investigación mientras trabajamos colectivamente para ayudar a proteger a los clientes.
La lista de ataques tipo Spectre y Meltdown crece cada mes y cada vez es más difícil hacer un seguimiento de ellos.
A continuación teneis una listatabla con información sobre todas las investigaciones recientes y vulnerabilidades.
- Variante 1 Bounds check bypass CVE-2017-5753 Spectre v1 Intel, AMD, ARM
- Variante 1.1 Bounds check bypass en tiendas CVE-2018-3693 Spectre 1.1 Intel, AMD, ARM
- Variante 1.2 Byte de protección de solo lectura CVE desconocido Spectre 1.2 Intel, AMD
- Variante 2 Inyección de blanco CVE-2017-5715 Spectre v2 Intel, AMD, ARM
- Variante 3 Carga de caché de datos deshonestos CVE-2017-5754 Fusión de un reactor Intel, ARM
- Variante 3a Rogue system register read CVE-2018-3640 Intel, AMD, ARM, IBM
- Variante 4 Desvío especulativo de la tienda CVE-2018-3639 SpectreNG Intel, AMD, ARM, IBM
- Devolución de mensaje erróneo SpectreRSB Intel, AMD, ARM