Уязвимости Spectre и Meltdown

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

УЯЗВИМОСТИ SPECTRE И MELTDOWN

З.Д. Смирнова

Белорусский государственный университет

информатики и радиоэлектроники, Минск

В январе этого года разработчики Google Project Zero опубликовали подробный отчет о двух уязвимостях, получивших имена Meltdown и Spectre. Процессоры Intel и ARM64 подвержены обеим проблемам, процессоры AMD только второй уязвимости. Кроме того, уязвимости распространяются на IBM System Z, POWER8 и POWER9. Производителям процессоров сообщили о наличии проблем ещё 1 июня 2017 года. Чтобы продемонстрировать возможные атаки, подготовлены рабочие прототипы эксплойтов, в том числе реализованные на JavaScript и работающие в браузере.

Уязвимость Meltdown (CVE-2017-5754) позволяет приложению читать содержимое любой области памяти компьютера, в том числе память ядра. Она также позволяет получить доступ к памяти приложений других людей, пользующихся системами паравиртуализации (проблема не появляется в режиме полной виртуализации (HVM)) и контейнерной изоляции (включая Docker, LXC, OpenVZ), например, пользователь одной виртуальной машины может получить содержимое системной памяти хоста и других виртуальных машин. Уязвимости касаются процессоров Intel (практически все процессоры, выпущенные с 1995 года, за исключением Intel Itanium и Intel Atom, выпущенные до 2013 года) и ARM64 (Cortex-A15 / A57 / A72 / A75).

Уязвимость Spectre (CVE-2017-5753, CVE-2017-5715) направлена на механизм, обеспечивающий изоляцию памяти приложения, и позволяет злоумышленнику перехватывать данные другого приложения (иключительно приложения, но не памяти ядра). Эта атака может быть осуществлена на процессоры Intel, AMD и ARM64 (Cortex-R7 / R8, Cortex-A8 / A9 / A15 / A17 / A57 / A72 / A73 / A73 / A75). По сравнению с Meltdown эту уязвимость гораздо сложнее использовать, но также ее гораздо сложнее исправить. Примеры использование прототипа Spectre уже можно найти в общедоступных источниках [1].

Возможность проведения атаки создается тремя взаимосвязанными механизмами:

- Глубокое спекулятивное выполнение операций, в том числе чтение данных из оперативно-запоминающего устройства (ОЗУ) без проверки прав доступа процесса к читаемым областям.

- Отсутствие очистки кеша процессора от результатов ошибочного спекулятивного исполнения (такая очистка, вероятно, снизит скорость работы процессора).

- Ядро операционной системы хранит свои данные в адресном пространстве процесса, защищая их от несанкционированного доступа на уровне привилегий. Эта технология позволяет быстро выполнять системные вызовы. При таких вызовах уровень привилегий увеличивается, и при возврате, уровень привилегий снова уменьшается, что не требует перезагрузки таблицы дескриптора страницы [2].

Современные высокопроизводительные микропроцессоры могут выполнять новый код, не дожидаясь завершения предыдущих действий. Например, если инструкция перехода ожидает получения данных из ОЗУ для принятия решения, бездействующий процессор может начать выполнение одного из направлений ветвления, в надежде получить готовый результат вычисления к тому времени, когда результат ветвления станет известен. Этот метод называется спекулятивным исполнением. В случае успешного угадывания спекулятивный исполняемый код изменяет видимые значения регистров, и выполнение продолжится. Если ветка выполнения предположена неверно, команды из нее не изменяют видимое состояние процессора, и фактическое выполнение будет возвращено в точку ветвления [3].

Из-за характерных особенностей некоторых реализаций во время спекулятивного исполнения доступ к памяти фактически выполняется независимо от прав доступа к этой памяти исполняемого процесса, что позволяет выполнять команды, не дожидаясь ответа от контроллера памяти. Если впоследствии эта ветвь спекулятивного исполнения окажется правильной, будет создано исключение ошибочного доступа к памяти. Если ветвь отбрасывается как ошибочная, то исключение не будет сгенерировано, но переменные, загруженные в кеш во время выполнения ветвления, остаются в кеше. Соответственно, авторы атаки предложили метод анализа наличия данных в кеше (в зависимости от времени доступа к ним), который, если правильно построить атаку, может дать представление о том, что произошло в отброшенной ветви спекулятивного исполнения и содержание более привилегированных разделов памяти.

Подготовленный прототип эксплойта позволяет читать память ядра со скоростью 2000 байт в секунду на процессорах Intel архитектуры Xeon Haswell. Уже есть несколько подробных примеров использования спекулятивного выполнения процессора при помощи JavaScript (рисунок 1).

уязвимость spectre meltdown

Рисунок 1 - Пример эксплойта

Ожидается, что уязвимость затронет крупнейших в мире поставщиков облачных услуг, в частности Amazon Web Services (AWS), Google Cloud Platform, Microsoft Azure. Поставщики облачных услуг позволяют различным пользователям запускать свои приложения на общих физических серверах. Поскольку программы могут обрабатывать конфиденциальные пользовательские данные, меры защиты и изоляции, предоставляемые процессором, используются для предотвращения несанкционированного доступа к привилегированной памяти (используемой ядром операционной системы (ОС)). Атака Meltdown при использовании в системах, не реализующих защиту программного обеспечения (патчей), позволяет обойти некоторые меры по изоляции памяти и получить доступ к чтению из памяти операционной системы [3].

К концу года ожидается, что компания Intel выпустит процессоры, не имеющие такой уязвимости, однако пока не разглашается информация, в какой именно механизм процессора, явившийся причиной уязвимости, будут внесены изменения.

Существует несколько способов борьбы с описанными выше атаками. Эти способы защиты можно разделить по категориям в зависимости от того механизма процессора, на который они направлены.

Наиболее основательный способ борьбы с атакой был предложен разработчиками ядра Linux. Они ввели набор исправлений, называемых изоляцией страниц Kernel (KPTI, рабочие имена KAISER, UASS, FUCKWIT), которые вошли в версию ядра 4.15 в начале 2018 года и были перенесены в версию ядра 4.14.11. Обновление для блокировки Meltdown уже выпущено для RHEL, CentOS и Fedora. Ядро macOS получил исправление в версии 10.13.2. Суть этого способа борьбы заключается в том, что таблица страниц пользовательских процессов не отображает страницы памяти ядра ОС (за исключением небольшого количества служебных областей памяти ядра). В то же время вызовы с изменением уровня привилегий (в частности, системные вызовы) несколько замедляются, так как они должны переключаться на другую таблицу страниц, которая описывает всю память ядра ОС [2].

Google опубликовала информацию о результатах внедрения методов KPTI и retpoline для блокировки уязвимостей Meltdown и Spectre на своих серверах Linux, включая те, что обслуживают поисковые системы, Gmail, YouTube и облачную платформу Google. Влияние обоих патчей на производительность системы при реальной нагрузке можно считать незначительным, несмотря на то, что некоторые исследователи отметили большую степень снижения производительности во время тестов. Использование патча является обязательным, так как пользователи ежедневно запускают внешний код на своих компьютерах, посещая веб-сайты с JavaScript, тем самым подвергая себя риску атаки с использованием их браузера. Разработчики Google Chrome работают над тем, чтобы интегрировать защиту от атаки через JavaScript непосредственно в браузер.

Компания Mozilla пошла несколько иным путём и предложила более поверхностный способ борьбы с осуществлением атаки, направленный на затруднение вычисления времени доступа в кеш процессора, где хранятся результаты спекулятивного исполнения. В Firеfox 57 были внесены изменения, ограничивающие точность таймера (performance.now) до 20 мкс и отключающие SharedArrayBuffer.

Наконец, каждый пользователь может проверить уязвимость своего браузера, при помощи инструмента Spectre browser vulnerability check. Для браузеров на основе Chrome, таких как Opera и Google Chrome, имеется возможность усилить безопасность с помощью функции Site Isolation. Она позволяет обрабатывать содержимое каждого сайта или приложения, открытого в браузере, отдельно друг от друга [4].

Список литературы

1. Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64 // OpenNET [Электронный ресурс]. - 2018. - Режим доступа: https://www.opennet.ru/opennews/art.shtml?num=47856 - Дата доступа: 13.03.2018.

2. Аппаратная уязвимость - Meltdown // АйТиМед. [Электронный ресурс]. - 2018. - Режим доступа: http://itmed.webrift.ru/2018/02/13/meltdown - Дата доступа: 13.03.2018.

3. Meltdown -- аппаратная CVE-2017-5754 // Andigu.ru [Электронный ресурс]. - 2018. - Режим доступа: http://www.andigu.ru/ligoe-mned96nic/Meltdown - Дата доступа: 13.03.2018.

4. Exploiting Speculative Execution (Meltdown/Spectre) via JavaScript // React, etc. Tech Stack [Электронный ресурс]. - 2018. - Режим доступа: https://react-etc.net/entry/exploiting-speculative-execution-meltdown-spectre-via-javascript. - Дата доступа: 13.03.2018.

Размещено на Allbest.ru