英特爾處理器傳漏洞 研究員針對推測執行作攻擊示範

美國伍斯特理工學院（Worcester Polytechnic Institute）與德國呂貝克大學（University of Lübeck）的研究人員近日再度揭露一涉及CPU「推測執行」（speculative execution）功能的安全漏洞，該漏洞可曝露內存實體頁面映像（physical page mappings）信息，可藉以執行新型態的攻擊，或是改善既有攻擊的效果，研究人員已打造出可開採該漏洞的Spoiler攻擊。推測執行爲一處理器的優化技術，可在空閒時提早執行可能用得上的指令，去年初資安社羣共同揭露的Spectre與Meltdown攻擊，便是鎖定推測執行所衍生的安全漏洞，以竊取存放在內存中的安全漏洞。

儘管不論Spoiler、Spectre或Meltdown都與推測執行的弱點有關，但Spoiler是根植在徹底不一樣的硬件單元—內存排序緩衝區（Memory Order Buffer，MOB）。研究人員說明，處理器會在儲存以前加載推測，並在發現可能的相依性時，把事先儲存的數據加入，以改善處理器效能，但相依性的預測只仰賴部份的地址信息，可能帶來錯誤的相依性或停滯等風險。而Spoiler即破解了進行推測加載的相依性解析邏輯，進而取得實體頁面映像的信息。Spoiler可自使用者空間執行且不需特別的權限，能泄露實體頁面號碼的至少8個位，有鑑於利用內存設計漏洞的Rowhammer攻擊或快取攻擊等微架構的旁路攻擊，都是透過逆向工程取得虛擬至實體的地址映像，Spoiler便可提高逆向工程速度達256倍；而在Prime+Probe攻擊上，也能以4096倍的速度，改善其所利用的淘汰集（eviction set）搜尋。

 

研究人員指出，就算是隻知道實體地址的部份信息，都能讓基於瀏覽器的新攻擊變得可行，且Spoiler即便是在諸如JavaScript等沙盒環境中也適用。該研究同時測試了英特爾各類架構的處理器，以及AMD與ARM架構，發現AMD、ARM及Intel Core（Core2Duo）架構並未受到該漏洞的影響，但英特爾的Nehalem、Sandy Bridge、Ivy Bridge、Ivy Bridge EP、Haswell、Skylake 、Kaby Lake與Kaby Lake R等架構的處理器全均可被Spoiler攻陷。雖然該研究團隊在去年末就把相關發現提交給英特爾，但研究人員認爲，直到目前尚未能徹底解決此一問題的軟件緩解措施，而硬件的修補則很難部署到舊有系統，並且可能得耗上好幾年。