Akademik araştırmacılar, çekirdek belleğinden kök parola karmasını elde etmek için Intel, AMD ve Arm’ın gelecek CPU’larındaki güvenliği artırmak üzere tasarlanmış donanım özelliklerinden yararlanan, SLAM adı verilen yeni bir yan kanal saldırısı geliştirdi.
SLAM, yazılımın meta verileri depolamak için 64 bit doğrusal adreslerdeki çevrilmemiş adres bitlerini kullanmasına olanak tanıyan bir bellek özelliğinden yararlanan geçici bir yürütme saldırısıdır.
CPU satıcıları bunu farklı şekillerde uygular ve bunun için farklı şartlara sahiptir. Intel buna Doğrusal Adres Maskeleme (LAM) diyor, AMD bunu Üst Adres Yoksay (UAI) olarak adlandırıyor ve Arm, bu özelliği Top Bayt Yoksay (TBI) olarak adlandırıyor.
LAM’i temel alan Spectre’nin kısaltması olan SLAM saldırısı, Vrije Universiteit Amsterdam’daki Sistemler ve Ağ Güvenlik Grubu’ndaki (VUSec Group) araştırmacılar tarafından keşfedildi ve araştırmacılar, Intel’in yakında çıkacak olan LAM özelliğini son nesil bir Ubuntu sisteminde taklit ederek geçerliliğini gösterdi.
VUSec’e göre SLAM, esas olarak belirli kriterleri karşılayan gelecekteki çipleri etkiliyor. Bunun nedenleri arasında gelecekteki çip tasarımlarında güçlü kanoniklik kontrollerinin bulunmaması yer alıyor.
Ek olarak, gelişmiş donanım özellikleri (örn. LAM, UAI ve TBI) bellek güvenliğini ve yönetimini geliştirirken aynı zamanda sömürülebilir mikro mimari yarış koşullarını da beraberinde getirir.
Kök şifre karmasının sızdırılması
Saldırı, daha önce keşfedilmemiş bir Spectre açıklama aygıtı sınıfından, özellikle de işaretçi takibini içerenlerden yararlanmaya odaklanan yeni bir geçici yürütme tekniğinden yararlanıyor.
Gadget’lar, saldırganın hassas bilgileri açığa çıkaracak şekilde spekülatif yürütmeyi tetiklemek için işleyebileceği yazılım kodundaki talimatlardır.
Spekülatif yürütmenin sonuçları atılsa da süreç, saldırganların diğer programlardan ve hatta işletim sisteminden gelen veriler gibi hassas bilgileri çıkarmak için gözlemleyebileceği değiştirilmiş önbellek durumları gibi izler bırakır.
SLAM saldırısı, gizli verileri işaretçi olarak kullanan “maskesi kaldırılmış” aygıtları hedef alıyor; araştırmacılar, bunların yazılımda yaygın olduğunu ve keyfi ASCII çekirdek verilerini sızdırmak için kullanılabileceğini bildiriyor.
Araştırmacılar, Linux çekirdeğinde yüzlerce yararlanılabilir gadget’ı buldukları bir tarayıcı geliştirdiler. Aşağıdaki video çekirdekten root şifre karmasını sızdıran saldırıyı göstermektedir.
Pratik senaryoda, bir saldırganın, maskesiz aygıtlarla etkileşime giren hedef sistem kodunu yürütmesi ve ardından çekirdek belleğinden şifreler veya şifreleme anahtarları gibi hassas bilgileri çıkarmak için karmaşık algoritmalar kullanarak yan etkileri dikkatlice ölçmesi gerekir.
SLAM saldırısını yeniden oluşturmaya yönelik kod ve veriler VUSec’in GitHub deposunda mevcuttur. Araştırmacılar ayrıca saldırının nasıl çalıştığını açıklayan teknik bir makale de yayınladılar.
VUSec, SLAM’in aşağıdaki işlemcileri etkilediğini belirtiyor:
- Mevcut AMD CPU’lar CVE-2020-12965’e karşı savunmasız
- LAM’i destekleyen gelecekteki Intel CPU’lar (hem 4 hem de 5 seviyeli sayfalama)
- UAI ve 5 seviyeli sayfalamayı destekleyen geleceğin AMD CPU’ları
- TBI ve 5 seviyeli çağrılamayı destekleyen Future Arm CPU’ları
Satıcının SLAM’e yanıtı
Araştırmacıların açıklamasına yanıt veren Arm, sistemlerinin Spectre v2 ve Spectre-BHB’ye karşı zaten önlem aldığını ve SLAM’e yanıt olarak başka bir eylem planlamadığını açıklayan bir tavsiye belgesi yayınladı.
AMD ayrıca, VUSec araştırma grubu tarafından açıklanan SLAM saldırısına yönelik mevcut Spectre v2 azaltımlarına dikkat çekti ve riski azaltacak herhangi bir rehberlik veya güncelleme sağlamadı.
Intel, LAM’i destekleyen gelecekteki işlemcileri piyasaya sürmeden önce, kullanıcı/çekirdek modunda spekülatif adres erişimlerini önlemek için özelliğin Doğrusal Adres Alanı Ayrımı (LASS) güvenlik uzantısıyla dağıtılması gibi yazılım rehberliği sağlama planlarını duyurdu.
Daha fazla rehberlik sağlanana kadar Linux mühendisleri LAM’i devre dışı bırakan yamalar oluşturdular.