Moderne CPU’s van Intel, waaronder Raptor Lake en Alder Lake, blijken kwetsbaar voor een nieuwe side-channel-aanval. Deze aanval kan worden misbruikt om gevoelige informatie van de processors te lekken.
De aanval, codenaam Directeur door beveiligingsonderzoekers Luyi Li, Hosein Yavarzadeh en Dean Tullsen, maakt gebruik van tekortkomingen die zijn geïdentificeerd in Indirect Branch Predictor (IBP) en de Branch Target Buffer (BTB) om bestaande verdedigingen te omzeilen en de beveiliging van de CPU’s in gevaar te brengen.
“De Indirect Branch Predictor (IBP) is een hardwarecomponent in moderne CPU’s die de doeladressen van indirecte branches voorspelt”, merkten de onderzoekers op.
“Indirecte branches zijn controlestroominstructies waarvan het doeladres tijdens runtime wordt berekend, waardoor ze moeilijk nauwkeurig te voorspellen zijn. De IBP gebruikt een combinatie van globale geschiedenis en branchadres om het doeladres van indirecte branches te voorspellen.”
Het idee is om kwetsbaarheden in IBP te identificeren om zo precieze Branch Target Injection (BTI)-aanvallen uit te voeren – ook bekend als Spectre v2 (CVE-2017-5715) – die gericht zijn op de indirecte branch predictor van een processor. Dit resulteert in ongeautoriseerde openbaarmaking van informatie aan een aanvaller met lokale gebruikersrechten via een zijkanaal.
Dit wordt bereikt met behulp van een speciaal hulpmiddel genaamd iBranch Locator. Hiermee wordt elke indirecte vertakking gelokaliseerd, waarna nauwkeurig gerichte IBP- en BTP-injecties worden uitgevoerd om speculatieve uitvoering uit te voeren.
Intel werd in februari 2024 op de hoogte gesteld van de bevindingen en heeft sindsdien andere getroffen hardware- en softwareleveranciers over het probleem geïnformeerd.
Om dit probleem te beperken, wordt aanbevolen om de Indirect Branch Predictor Barrier (IBPB) agressiever in te zetten en het ontwerp van de Branch Prediction Unit (BPU) te versterken door complexere tags, encryptie en randomisatie toe te passen.
Het onderzoek wordt uitgevoerd nadat is gebleken dat Arm-CPU’s vatbaar zijn voor een eigen speculatieve uitvoeringsaanval met de naam TIKTAG. Deze aanval richt zich op de Memory Tagging Extension (MTE) en zorgt ervoor dat er in minder dan vier seconden met een succespercentage van meer dan 95% gegevens worden gelekt.
Uit het onderzoek blijkt dat er nieuwe TikTag-gadgets zijn die in staat zijn om MTE-tags uit willekeurige geheugenadressen te lekken via speculatieve uitvoering, aldus de onderzoekers Juhee Kim, Jinbum Park, Sihyeon Roh, Jaeyoung Chung, Youngjoo Lee, Taesoo Kim en Byoungyoung Lee.
“Met TikTag-gadgets kunnen aanvallers de probabilistische verdediging van MTE omzeilen, waardoor de slagingskans van aanvallen met bijna 100% toeneemt.”
In reactie op de onthulling zei Arm: “MTE kan een beperkte set deterministische eerstelijnsverdedigingen bieden, en een bredere set probabilistische eerstelijnsverdedigingen, tegen specifieke klassen van exploits.”
“De probabilistische eigenschappen zijn echter niet ontworpen om een volledige oplossing te bieden tegen een interactieve tegenstander die in staat is om adreslabels te brute forceren, te lekken of willekeurige adreslabels te maken.”
