TIKTAG è il nuovo attacco all'esecuzione speculativa MTE di ARM

Un gruppo di ricercatori ha scoperto una vulnerabilità nella funzionalità MTE delle architetture ARM. Le informazioni sono state divulgate già a dicembre, ma le correzioni non sono ancora disponibili perché il problema non è al momento prioritario
di Andrea Bai pubblicata il 17 Giugno 2024, alle 16:51 nel canale SicurezzaARM
Un nuovo attacco di esecuzione speculativa, denominato "TIKTAG",
mira a sfruttare la funzionalità Memory Tagging Extension (MTE) di
ARM, progettata per rilevare e prevenire fenomeni di corruzione della
memoria. Questa vulnerabilità, quando opportunamente sfruttata, consente
agli hacker di aggirare le protezioni di sicurezza di MTE e far
fuoriuscire dati sensibili con una probabilità di successo superiore al
95%.
La ricerca è stata condotta da un gruppo di analisti Samsung, della Seoul
National University e del Georgia Institute of Technology e condivide
inoltre una dimostrazione di come l'attacco possa essere sfruttato
contro Google Chrome e il kernel Linux.
La funzionalità MTE è stata introdotta a partire dall'architettura ARM v8.5-A per proteggere i sistemi dalla corruzione della memoria. MTE si basa sull'uso di un sistema di tagging a basso overhead, che assegna tag a 4 bit a blocchi di memoria da 16 byte. Questo meccanismo assicura che il tag nel puntatore corrisponda alla regione di memoria a cui si accede, prevenendo così gli attacchi di corruzione della memoria.
MTE offre tre modalità operative (sincrona, asincrona e asimmetrica) per bilanciare sicurezza e prestazioni. Un aggressore, sfruttando due frammenti di codice che i ricercatori hanno battezzato TIKTAG-v1 e TIKTAG-v2, può abusare dell'esecuzione speculativa per far fuoriuscire i tag di memoria MTE. Sebbene ciò da solo non sia sufficiente ad esporre dati sensibili eventualmente presenti in memoria, rappresenta però un sistema per minare alla base le protezioni fornite da MTE, vanificando quindi lo scopo iniziale della funzione.

TIKTAG-v1 si è mostrato efficace negli attacchi contro il kernel Linux, e in particolar modo proprio in quelle funzoni che implicano un qualche tipo di accesso alla memoria speculativa. TIKTAG-v2 è invece efficace contro Google Chrome e in particolare con il motore Javascript V8, permettendo in linea teorica lo sfruttameto della vulnerabilità nel processodi rendering.
I ricercatori hanno segnalato le loro scoperte alle parti interessate, seguendo i principi di responsible disclosure, tra novembre e dicembre 2023, ricevendo riscontri generalmente positivi anche se le correzioni sono sono ancora state implementate.
ARM ha riconosciuto la gravità della situazione e pubblicato un bollettino di sicurezza qualche mese fa, pur non considerando tutto ciò una compromissione della funzionalità MTE. Dal momento che i tag di allocazione sono elementi non segreti al software che opera nello spazio degli indirizzi, un meccanismo speculativo che rende noto il valore corretto del tag non è considerato essere una violazione dei principi dell'architettura.
Anche il team che si occupa della sicurezza di Google Chrome ha riconosciuto i problemi evidenziati dai ricercatori, ma anche in questo caso la vulnerabilità non è stata corretta dal momento che il sandbox V8 non è destinato a garantire la riservatezza dei dati di memoria e dei tag MTE. La correzione non è inoltre stata considerata come prioritaria dato che Chrome al momento non abilita di default le difese basate su MTE.
Il documento tecnico pubblicato dai ricercatori su arxiv.org propone diverse mitigazioni contro gli attacchi TIKTAG, tra cui modifiche al design hardware per impedire che l'esecuzione speculativa modifichi gli stati della cache in base ai risultati del controllo dei tag, l'inserimento di barriere speculative per impedire l'esecuzione speculativa di operazioni di memoria critiche, l'aggiunta di istruzioni di padding per estendere la finestra di esecuzione tra istruzioni di diramazione e accessi alla memoria, e il miglioramento dei meccanismi di sandboxing per limitare i percorsi di accesso alla memoria speculativa rigorosamente all'interno di regioni di memoria sicure.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".