Spectre rückwärts: Neue Varianten über den Return Stack Buffer

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33811
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Spectre rückwärts: Neue Varianten über den Return Stack Buffer

Beitrag von doelf » 25 Jul 2018, 15:08

Spectre, Spectre und kein Ende: Forscher der Universität des Saarlandes in Saarbrücken und der University of California in Riverside haben weitere Varianten des Spectre-Angriffs auf die spekulative Ausführung moderner Prozessoren dokumentiert. Ansatzpunkt ist diesmal der "Return Stack Buffer" (RSB), wobei eine vorausgesagte Rücksprungadresse manipuliert wird, um dann über bekannte Seitenkanäle Daten abzugreifen.

Entdeckt und dokumentiert wurden die RSB-Angriffe von Giorgi Maisuradze und Christian Rossow vom "Center for IT-Security, Privacy and Accountability" (CISPA) der Universität des Saarlands sowie von Esmaiel Mohammadian Koruyeh, Khaled Khasawneh, Chengyu Song und Nael Abu-Ghazaleh vom "Computer Science and Engineering Department" der University of California, Riverside. Die beiden Forschergruppen scheinen die Fehler unabhängig voneinander gefunden zu haben, wobei die Amerikaner auf die Ergebnisse aus dem Saarland verweisen. Beide Forschergruppen sorgen für eine fehlerhafte Vorhersage der Rücksprungadresse, welche im "Return Stack Buffer" (RSB) abgelegt wird. Dann wird die spekulative Ausführung auf eine bekannte oder - besser noch - vom Angreifer kontrollierte Code-Sequenz umgeleitet. Der Abgriff der Daten erfolgt dann, wie bei den anderen Spectre-Varianten, mit Hilfe von Cache-Manipulationen.

Die Erkenntnisse aus dem Saarland
Die beiden Forscher aus dem Saarland haben zwei Varianten der RSB-basierten Angriffe vorgestellt, welche von den bereits verfügbaren Spectre-Updates für Betriebssysteme unterbunden werden. Wurden keine entsprechenden Updates installiert, lassen sich geschützte Daten auslesen - beispielsweise Passwörter, die andere Benutzer eingeben. Doch auch wenn das Betriebssystem gegen Spectre abgesichert wurde, lassen sich weiterhin JIT-Umgebungen (Just-in-time-Kompilierung) angreifen - das wäre die zweite Variante. Maisuradze und Rossow konnten mit JIT-kompilierten Code, getestet wurde mit JavaScript und WebAssembly im Webbrowser, Speicherbereiche außerhalb der Sandbox auslesen - und das mit einer Erfolgsquote von 80 Prozent. Um dies zu verhindern, müssen die JIT-Kompiler gehärtet werden, wahlweise mit Hilfe der Befehle lfence und mfence oder über eine entsprechende Umsetzung von Retpoline.

Intel, AMD und ARM, Microsoft und Redhat sowie Apple, Google, Microsoft und Mozilla wurden im April 2008 über die RSB-Angriffe informiert. Intel hat die Schwachstellen bestätigt, während AMD und ARM zumindest ein generelles Problem sehen. Mozilla und Google wollen ihre Webbrowser mit Hilfe unscharfer Zeitnahmen weiter absichern und auch Microsoft und Redhat haben diese Angriffe im Blick. Seitens Apple gab es im Laufe der drei Monate gar keine Reaktion.

Die Erkenntnisse aus Kalifornien
Das Team der University of California hat mehrere Angriffsvarianten - "Angriff im selben Prozess", "Angriff über zwei kollidierende Threads (User-Space)", "Angriff über zwei kollidierenden Threads (Kernel-Space)", "Angriffe über die Prozessgrenze hinaus", "Angriffe auf SGX" (Intel Software Guard Extensions) und "Angriff vom User- auf den Kernel-Space" - beschrieben. Dabei zeigte sich, dass lfence, IBRS, STUBP, IBPB und Retpoline die Angriffe nicht verhindern konnten. Lediglich das Auffüllen des RSB und SMEP/SMAP sorgten in einigen Varianten für Abhilfe. Eine Lösung für Angriffe innerhalb des selben Prozesses oder Angriffe auf SGX bieten diese Maßnahmen allerdings auch nicht. Die Amerikaner hatten Intel, AMD und ARM vorab informiert. Ihre Tests fanden, genau wie bei ihren Kollegen aus Deutschland, allerdings nur auf Prozessoren von Intel statt.

Nichts Neues seitens der CPU-Hersteller
AMD und ARM haben ihre Meltdown-/Spectre-Informationen zwar frisch aktualisiert, doch dabei ging es um die Variante "Bounds check bypass stores" (CVE-2018-3693). Intels Informationen datieren indes noch auf den 23. Mai 2018. Hinsichtlich der RSB-basierten Angriffe gibt es derweil noch keine Stellungnahmen.
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Special-Forces
Special-Forces
Beiträge: 939
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Spectre rückwärts: Neue Varianten über den Return Stack Buffer

Beitrag von Mausolos » 25 Jul 2018, 19:05

doelf hat geschrieben:
25 Jul 2018, 15:08
AMD und ARM haben ihre Meltdown-/Spectre-Informationen zwar frisch aktualisiert, doch dabei ging es um die Variante "Bounds check bypass stores" (CVE-2018-3693).
Das verstehe ich nicht:
Bei AMD ist oben vom „Spectre Mitigation Update“ — „eine Untervariante der ursprünglichen Sicherheitsschwachstelle Google Project (GPZ) Variante 1/Spectre“ datiert mit dem 13.07.2018 zu lesen.

Ist das wieder etwas anderes?
Linux :)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33811
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Spectre rückwärts: Neue Varianten über den Return Stack Buffer

Beitrag von doelf » 25 Jul 2018, 22:43

Okay, ARM geht auf die neuen Erkenntnisse ein. Allerdings nur im Whitepaper:
v2.2, 24 July 2018, Non-confidential:
Updated to detail ‘speculative execution of stores’ subvariant of Variant 1.
With thanks to Vladimir Kiriansky of MIT.
Updated to detail ‘return stacks extension’ to Variant 2.
With thanks to Giorgi Maisuradze of the University of Saarland and Nael Abu-Ghazaleh at University of California, Riverside.
Auf der Übersichtsseite von ARM ist das allerdings nicht ersichtlich, dort ist der neueste Eintrag CVE-2018-3693.

CVE-2018-3693 ist Spectre 1.1 ("Speculative Bounds Check Bypass Store"). Dieser Fehler wurde von Vladimir Kiriansky (MIT) and Carl Waldspurger (Carl Waldspurger Consulting) gemeldet (siehe: https://01.org/security/advisories/intel-oss-10002). Hierauf bezieht sich auch AMDs Eintrag vom 13.07.2018, welcher auf die PDF der beiden verweist.

Soweit ich das sehe, gibt es für die RSB-Variante, welche die Saarländer als "Spectre v5" bezeichnen, noch keine CVE-Nummer.

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Special-Forces
Special-Forces
Beiträge: 939
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Spectre rückwärts: Neue Varianten über den Return Stack Buffer

Beitrag von Mausolos » 26 Jul 2018, 20:40

Aha, danke.
Man verliert mit den ganzen Spectre-Varianten schon langsam die Übersicht…
Linux :)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33811
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Spectre rückwärts: Neue Varianten über den Return Stack Buffer

Beitrag von doelf » 27 Jul 2018, 07:52

Man verliert mit den ganzen Spectre-Varianten schon langsam die Übersicht…
Das kann ich nur bestätigen :-(
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
The Grinch
Administrator
Administrator
Beiträge: 8453
Registriert: 17 Feb 2004, 07:12

Re: Spectre rückwärts: Neue Varianten über den Return Stack Buffer

Beitrag von The Grinch » 28 Jul 2018, 06:10

Das ist mglw. auch die Absicht der Hersteller?!?
(such den Alu-Hut, such)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33811
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Spectre rückwärts: Neue Varianten über den Return Stack Buffer

Beitrag von doelf » 30 Jul 2018, 12:15

So, hier noch einmal neu aufgedröselt plus NetSpectre als "Bonus":
Zusammenfassung: ret2spec, SpectreRSB, Spectre 1.1, NetSpectre
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten