“Indirector” té com a objectiu un component d’execució especulatiu en silici que les investigacions anteriors han passat per alt.

Investigadors de la Universitat de Califòrnia a San Diego (UCSD) han trobat una nova manera d’executar atacs de canals laterals semblants a Spectre contra les CPU d’Intel de gamma alta, inclosos els microprocessadors recents Raptor Lake i Alder Lake.

De la mateixa manera que a l’Spectre, la nova tècnica, que els investigadors han batejat amb el nom “Indirector“, aprofita una funció d’execució especulativa a les CPU d’Intel per redirigir el flux de control d’un programa, és a dir, l’ordre en què executa instruccions individuals i rutines invocades.

Atac de canal lateral semblant al de l‘Spectre

Un atacant podria utilitzar la tàctica per enganyar essencialment la CPU perquè faci execucions especulatives incorrectes i filtri dades delicades.

Hosein Yavarzadeh, un dels autors de la investigació (els seus coautors són Luyi Li i Dean Tullsen) diu que van provar el seu atac a les CPU Raptor Lake (13a generació), Alder Lake (12a generació) i Skylake (6a generació); i afegeix que amb algunes modificacions menors, l’atac hauria de funcionar en totes les altres CPU insígnies d’Intel de l’última dècada almenys.

Yavarzadeh també avisa que Intel, fins ara, no ha publicat cap solució de microcodi per a l’Indirector, «Creuen que la millor manera de mitigar els atacs d’injecció d’objectius és utilitzar la seva estratègia de mitigació introduïda anteriorment, anomenada IBPB, amb més freqüència», assenyala. «Nosaltres creiem que això comportaria una gran sobrecàrrega de rendiment i això s’hauria de mitigar en el maquinari o amb pedaços de programari». L’IBPB, o Barrera de predicció de branques indirectes, és una solució a nivell de maquinari Intel llançat el 2018 per protegir-se dels atacs de tipus Spectre. L’empresa l’ha descrit com especialment eficaç en determinats contextos en què la seguretat és crítica. Cal dir però que molta gent s’ha queixat perquè representa una forta penalització de rendiment quan s’invoca.

Execució especulativa, o execució fora d’ordre, és una tècnica d’augment del rendiment on les CPU com ara Raptor Lake i Alder Lake endevinen o prediuen essencialment el resultat de futures instruccions i comencen a executar-les abans de saber si realment calen o no.

Atacs d’execució especulativa anteriors – com ara de l’Spectre i Meltdown — s’han centrat principalment en l’enverinament de dos components específics del procés d’execució. Un d’ells és el Buffer de destinació de branca (BTB), que emmagatzema les adreces de destinació previstes que probablement necessita el processador; l’altre és Return Stack Buffer (RSB), un buffer de mida fixa que prediu l’adreça de destinació o les instruccions de retorn.

Un component d’execució especulativa que es va passar per alt

L’atac recentment desenvolupat se centra en un component de l’execució especulativa anomenat predictor de branca indirecta que anteriorment s’havia passat per alt. A l’article, els investigadors de l’UCSD expliquen que «L’IBP és un component crític de la unitat de predicció de branques que prediu l’adreça objectiu de les branques indirectes». Tal com van detallar, les branques indirectes són instruccions de flux de control on l’adreça de destinació es calcula en temps d’execució, cosa que fa que siguin difícils de predir amb precisió. «En analitzar l’IBP, descobrim nous vectors d’atac que poden evitar les defenses existents i comprometre la seguretat de les CPU modernes».

Yavarzadeh descriu l’esforç que implica una enginyeria inversa completa de l’estructura de l’IBP en els processadors Intel moderns i després analitza la mida, l’estructura i els mecanismes per fer prediccions.

També afirma que «La motivació principal darrere de la investigació de l’Indirector va ser revelar els detalls complexos del predictor de branques indirectes i les unitats de memòria intermèdia de la branca, que són les responsables de la predicció de les adreces objectiu de les instruccions de les branques a les CPU modernes». L’esforç va implicar examinar tots els detalls dels mecanismes de predicció de les dues unitats i les mesures de mitigació d’Intel per protegir-se dels atacs dirigits a aquests dos components. Explica que «A partir d’això, els investigadors van poder desenvolupar atacs d’injecció altament efectius dirigits al mecanisme de predicció de branques a les CPU d’Intel.»

I finalment conclou que «Una explotació possible implica que un atacant enverini el predictor de branca indirecta i/o el buffer de destinació de branca per segrestar el flux de control d’un programa de víctimes. Això permet a l’atacant saltar a una ubicació arbitrària i potencialment filtrar secrets. Per a un atac reeixit, un adversari hauria d’executar-se al mateix nucli de la CPU de la víctima, però el mètode és significativament més eficient que altres atacs d’injecció d’objectius d’última generació.»