SLAM, un nuovo attacco nel solco di Spectre che colpisce le future CPU

I ricercatori di sicurezza della VUSec, il gruppo Systems and Network Security della Vrije Universiteit Amsterdam, hanno scoperto un nuovo attacco side-channel ribattezzato SLAM (qui un sito dedicato) che colpisce le future CPU di Intel, AMD e ARM e consente di ottenere, tra le altre cose, l'hash della password di root dal kernel Linux.

Nel loro tweet, i ricercatori affermano che SLAM consiste nel "combinare Spectre e Intel LAM (Linear Address Masking)" per causare un leak di memoria dal kernel "sulle future CPU". Il video di accompagnamento dimostra la validità dell'attacco mediante l'emulazione della futura funzionalità LAM su un sistema Ubuntu di ultima generazione.

Benché venga citata Intel, la funzionalità LAM citata è presente con nomi diversi anche sulle CPU della concorrenza: AMD la chiama Upper Address Ignore (UAI), ARM l'ha ribattezzata Top Byte Ignore (TBI). Spectre based on Linear Address Masking, versione lunga di SLAM, è un attacco all'esecuzione transitoria che si basa su una funzionalità di memoria che consente al software di sfruttare bit d'indirizzo non tradotti in indirizzi lineari a 64 bit per l'archiviazione di metadati.

Secondo i ricercatori di VUSec, SLAM impatterà principalmente sui futuri chip che soddisfano specifici criteri. "Anche se queste sono funzionalità (LAM, UAI o TBI) hardware dirette a migliorare la sicurezza", leggiamo sul sito dedicato, "SLAM mostra che, allentando i controlli di canonicità, permettono anche di sfruttare gadget Spectre non mascherati. Più in generale, SLAM mostra che la sicurezza della microarchitettura dipende in modo cruciale da forti controlli di canonicità".

Per questo motivo, i ricercatori affermano che "persino le CPU esistenti con controlli di canonicità deboli potrebbero essere interessate" e citano: le CPU AMD vulnerabili a CVE-2020-12965; le future CPU Intel con supporto LAM (4 e 5-level paging); le future CPU AMD con supporto a UAI e 5-level paging; le future CPU ARM con supporto TBI e 5-level paging.

L'attacco sfrutta i gagdet Spectre, nello specifico quelli legati al "pointer chasing", una sequenza di istruzioni che implica una serie ripetuta di modelli di accesso irregolari alla memoria nei quali si richiede che i dati a cui si accede determinino il successivo indirizzo del puntatore a cui accedere. I gadget sono istruzioni nel codice del software che un malintenzionato può manipolare per innescare un'esecuzione speculativa in modo da arrivare a informazioni sensibili.

Sebbene i risultati dell'esecuzione speculativa vengano scartati, il processo lascia tracce come stati alterati della cache che i malintenzionati possono osservare per dedurre informazioni sensibili come dati da altri programmi o persino dal sistema operativo.

L'attacco SLAM prende di mira gadget "non mascherati" che utilizzano dati segreti come i puntatori, che secondo i ricercatori sono comuni nel software e possono essere sfruttati per far trapelare dati arbitrari del kernel ASCII. I ricercatori hanno sviluppato uno scanner con il quale hanno trovato centinaia di gadget sfruttabili nel kernel Linux.

Il codice e i dati per riprodurre l'attacco SLAM sono disponibili sul repository GitHub di VUSec. I ricercatori hanno anche pubblicato un paper tecnico in cui spiegano come funziona l'attacco.

La risposta di AMD, Intel e ARM a SLAM

In risposta alla divulgazione da parte dei ricercatori, ARM ha pubblicato un advisory in cui spiega che i suoi sistemi già mitigano Spectre v2 e Spectre-BHB e non pianifica ulteriori azioni in risposta a SLAM. AMD indirizzano alle attuali misure di mitigazione di Spectre v2 per affrontare l'attacco SLAM e non ha fornito alcuna guida o aggiornamento che possa ridurre il rischio.

Intel ha annunciato l'intenzione di fornire indicazioni prima del rilascio di futuri processori che supportano LAM, suggerendo l'implementazione della funzionalità con l'estensione di sicurezza Linear Address Space Separation (LASS) per prevenire accessi speculativi agli indirizzi in modalità utente/kernel. Nel frattempo è stata creata una patch che disabilita LAM di default in Linux.

I produttori di CPU si "attaccano da soli"?

La risposta alla domanda è "talvolta, sì". Il lavoro dei ricercatori di VUSec qui descritto è infatti stato supportato da Intel tramite il progetto "Allocamelus", dal Dutch Research Council (NWO) tramite il progetto "INTERSECT" e dal programma Horizon Europe dell'UE.

Intel, in particolare, ha rivoluzionato nel post Spectre e Meltdown il modo in cui affronta la sicurezza e, grazie a numerose collaborazioni con team di ricercatori, sostiene la ricerca di eventuali problematiche non note. A questo si affianca il lavoro svolto internamente, di cui abbiamo avuto prova con il recente disclosure di Reptar.

In questo modo Intel può intervenire sui problemi prima che un malintenzionato - e non un team di ricercatori che segue le buone pratiche di divulgazione - possa scoprirli e sfruttarli a proprio vantaggio, causando gravi danni ad aziende, istituzioni e singoli utenti.