Сотрудники Google Маттео Риццо и Энди Нгуен представили исследование, посвященное улучшению атаки Retbleed. Как уже сообщалось ранее, данная уязвимость затрагивает чипы AMD архитектур Zen и Zen 2, а также процессоры Intel Kaby Lake и Coffee Lake. Аппаратные недочёты такого уровня крайне редко применяются на практике, поэтому варианты Spectre и производные методы, включая Retbleed, остаются преимущественно теоретическими угрозами. Тем не менее, производители процессоров и разработчики программного обеспечения активно внедряют защитные меры. Основное достижение специалистов Google — значительное повышение эффективности Retbleed. Не изменяя базовую концепцию атаки, им удалось использовать специфику AMD Zen 2 для несанкционированного доступа к произвольным данным в ОЗУ.
Суть атаки Retbleed
Подобно Spectre, Retbleed использует особенности механизма предсказания переходов в ЦПУ. Эта технология позволяет процессору предварительно выполнять команды до получения результатов текущих операций. Ошибочные прогнозы обычно вызывают лишь незначительные задержки, незаметные для пользователя.
Атака Spectre, обнаруженная в 2018 году, продемонстрировала, что ошибки предсказания могут привести к утечке конфиденциальной информации. Это стало возможным благодаря двум факторам:
- Систему прогнозирования можно натренировать для обращения к защищённым областям памяти, что загрузит секретные данные в кэш процессора.
- Существует метод извлечения этих данных через анализ времени выполнения специальных команд (побочный канал).
Retbleed развивает концепцию Spectre v2: он также эксплуатирует предсказание переходов, но использует иной способ внедрения вредоносных инструкций. Кроме того, Retbleed способен обходить защиту от Spectre v2, представляя угрозу для современных систем. Реализация остаётся сложной: в тестах создателей методики для кражи пароля потребовалось 1.5 часа в идеальных условиях.
Улучшения от экспертов Google
Команде Google удалось значительно увеличить скорость работы Retbleed. Ключевое усовершенствование — возможность чтения произвольных данных из ОЗУ со скоростью 13 КБ/с с абсолютной точностью. Исследователи также продемонстрировали обход защитных механизмов ядра Linux и адаптировали атаку Speculative ROP для преодоления барьеров от Spectre v2.
Единственным существенным ограничением метода является требование знания конфигурации ядра. Однако это не критично:
- Многие системы используют стандартные настройки.
- Злоумышленники могут предварительно проанализировать незнакомую конфигурацию.
Риски применения Retbleed на практике
Большинство подобных атак предполагают сценарий с запуском малопривилегированного вредоносного кода для получения доступа к секретам. Однако традиционные методы взлома часто оказываются проще — при наличии возможности выполнения произвольного кода злоумышленники обычно используют менее сложные уязвимости в ПО.
Наибольшую угрозу Retbleed и Spectre представляют для облачных инфраструктур. Для провайдеров критически важно предотвращать доступ клиентов к данным других пользователей или гипервизора. Google подтвердила, что улучшенный Retbleed позволяет преодолевать такую изоляцию. В результате компания исключила серверы на AMD Zen 2 из своего облачного сервиса для задач с выполнением клиентского кода.
