Полный Spectre уязвимостей

Meltdown

Собери 5 особенностей процессора
и получи Meltdown в подарок

1. CPU Cache

t_cache < t_RAM

2. Спекулятивное выполнение кода

3. Branch Prediction Unit

var secret = 0;
for (var i = 0; i < 1000; i++) {
    if (i < 999) {
        secret = i;
    }
}

4. Memory Management Unit

5. Косвенная адресация

add ax, [bx]
mov dl, [si]

Порядок

1. тренируем процессор выполнять код спекулятивно 🥅
2. пытаемся читать значение по закрытому адресу памяти косвенной адресацией 🕵️‍
3. MMU ругается, результаты сбрасываются из регистров процессора 🚫
4. но в кэше лежит значение из закрытого адреса памяти 😏
5. замеряем скорость обращения к участку памяти прямой адресацией ⏱
6. PROFIT 🤗

var TABLE1_STRIDE = 1;
var TABLE1_BYTES = 3;
var probeTable = ['alpha', 'beta', 'corky'];
var simpleByteArray = [0x00, 0x01, 0x02];
var localJunk;
var index = 0;
if (index < simpleByteArray.length) {
    index = simpleByteArray[index | 0];
    index = (((index * TABLE1_STRIDE) | 0)&(TABLE1_BYTES - 1)) | 0;
    localJunk &= probeTable[index | 0] | 0;
}
console.log(localJunk);

Spectre

Атакующий код

if (x < array1_size)
{
    y = array2[array1[x]];
}

Порядок

1. тренируем процессор выполнять код спекулятивно атакующим процессом
2. засоряем кэш процессора
3. честно помещаем в кэш воруемые данные (S) из атакуемого процесса
4. честно вызываем уязвимый код в атакуемом процессе
5. процессор выбрасывает результаты вычислений отовсюду, кроме кэша
6. замеряем время доступа к ячейкам до адреса S

Это ж надо знать код!

• часто используемые библиотеки
• open source
• дизассемблер

Уязвимы для Meltdown

• процессоры Intel с 1995 года, кроме Itanium и pre-2013
• Процессоры с архитектурой ядра Cortex A75
• AMD PRO и AMD FX с включенным BPF JIT

Уязвимы для Spectre

• процессоры Intel с 1995 года, кроме Itanium и pre-2013
• все современные процессоры AMD
• ARM с ядрами Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 и A75

Как применить?

• Получение дампа системной памяти из браузера 👨‍💻
• Воровство данных с других виртуальных машин на одном хостинге 🕵
• Сбор статистики посещения сайтов 😳
• Новый скандал с голливудскими звездами и их фото 📷
• Дать фантазии простор для творчества 😏

Срочные фиксы в браузерах

• уменьшение точности performance.now
• удаление SharedArrayBuffer

Powershell

Install-Module SpeculationControl
Import-Module SpeculationControl
Get-SpeculationControlSettings

Как защититься? 🛡️

• Установить последние обновления системы и браузера
• Отключить JavaScript даже при посещении безопасных сайтов
• Осторожно запускать новые приложения
• Сменить процессор на заведомо безопасный
• Не хранить секретные данные на электронных носителях

Материалы

• Reading privileged memory with a side-channel — Project Zero
• spectreattack.com
• skyfallattack.com
• Новогодние подарки — Geektimes:olartamonov
• meltdownspectre-patches