Lebih dari enam tahun setelah kelemahan keamanan Spectre yang berdampak pada prosesor CPU modern terungkap, penelitian baru menemukan bahwa prosesor AMD dan Intel terbaru masih rentan terhadap serangan eksekusi spekulatif.
Serangan tersebut, diungkapkan oleh peneliti ETH Zürich Johannes Wikner dan Kaveh Razavi, bertujuan untuk melemahkan Indirect Branch Predictor Barrier (IBPB) pada chip x86, sebuah mitigasi penting terhadap serangan eksekusi spekulatif.
Eksekusi spekulatif mengacu pada fitur pengoptimalan kinerja di mana CPU modern mengeksekusi instruksi tertentu secara tidak berurutan dengan memprediksi cabang yang akan diambil oleh suatu program sebelumnya, sehingga mempercepat tugas jika nilai spekulatif yang digunakan benar.
Jika hal ini mengakibatkan kesalahan prediksi, instruksi, yang disebut transient, dinyatakan tidak valid dan dihentikan, sebelum prosesor dapat melanjutkan eksekusi dengan nilai yang benar.
Meskipun hasil eksekusi instruksi sementara tidak terikat pada status program arsitektural, masih ada kemungkinan bagi instruksi tersebut untuk memuat data sensitif tertentu ke dalam cache prosesor melalui kesalahan prediksi yang dipaksakan, sehingga mengeksposnya ke musuh jahat yang jika tidak akan diblokir untuk mengaksesnya. .
Intel menggambarkan IBPB sebagai “mekanisme kontrol cabang tidak langsung yang membentuk penghalang, mencegah perangkat lunak yang dijalankan sebelum penghalang mengendalikan target prediksi cabang tidak langsung yang dieksekusi setelah penghalang pada prosesor logis yang sama.”
Ini digunakan sebagai cara untuk membantu melawan Branch Target Injection (BTI), alias Spectre v2 (CVE-2017-5715), serangan eksekusi transien lintas domain (TEA) yang memanfaatkan prediktor cabang tidak langsung yang digunakan oleh prosesor untuk menyebabkan pengungkapan gadget untuk dieksekusi secara spekulatif.
Gadget pengungkapan mengacu pada kemampuan penyerang untuk mengakses rahasia korban yang tidak terlihat secara arsitektural, dan menyaringnya melalui saluran rahasia.
Temuan terbaru dari ETH Zürich menunjukkan bahwa bug mikrokode di mikroarsitektur Intel seperti Golden Cove dan Raptor Cove dapat digunakan untuk menghindari IBPB. Serangan ini digambarkan sebagai “kebocoran Spectre lintas-proses end-to-end” yang praktis dan pertama.
Cacat mikrokode “mempertahankan[s] prediksi cabang sedemikian rupa sehingga masih dapat digunakan setelah IBPB seharusnya membatalkannya,” kata para peneliti. “Spekulasi pasca-penghalang seperti itu memungkinkan penyerang untuk melewati batas keamanan yang ditentukan oleh konteks proses dan mesin virtual.”
Varian IBPB AMD, menurut studi tersebut, juga dapat dilewati karena cara IBPB diterapkan oleh kernel Linux, sehingga mengakibatkan serangan – dengan nama kode Post-Barrier Inception (alias PB-Inception) – yang memungkinkan musuh yang tidak memiliki hak istimewa membocorkan memori istimewa pada prosesor AMD Zen 1(+) dan Zen 2.
Intel telah menyediakan patch mikrokode untuk mengatasi masalah tersebut (CVE-2023-38575, skor CVSS: 5.5). AMD, pada bagiannya, melacak kerentanan sebagai CVE-2022-23824, menurut saran yang dirilis pada November 2022.
“Pengguna Intel harus memastikan mikrokode intel mereka mutakhir,” kata para peneliti. “Pengguna AMD harus memastikan untuk menginstal pembaruan kernel.”
Pengungkapan ini terjadi beberapa bulan setelah peneliti ETH Zürich merinci teknik serangan RowHammer baru dengan nama sandi ZenHammer dan SpyHammer, yang terakhir menggunakan RowHammer untuk menyimpulkan suhu DRAM dengan akurasi tinggi.
“RowHammer sangat sensitif terhadap variasi suhu, meskipun variasinya sangat kecil (misalnya ±1 °C),” kata studi tersebut. “Laju kesalahan bit yang diinduksi RowHammer secara konsisten meningkat (atau menurun) seiring dengan peningkatan suhu, dan beberapa sel DRAM yang rentan terhadap RowHammer menunjukkan kesalahan bit hanya pada suhu tertentu.”
Dengan memanfaatkan korelasi antara RowHammer dan suhu, penyerang dapat mengidentifikasi penggunaan sistem komputer dan mengukur suhu sekitar. Serangan tersebut juga dapat membahayakan privasi dengan menggunakan pengukuran suhu untuk menentukan kebiasaan seseorang di dalam rumah dan waktu ketika mereka memasuki atau meninggalkan ruangan.
“SpyHammer adalah serangan sederhana dan efektif yang dapat memata-matai suhu sistem kritis tanpa modifikasi atau pengetahuan sebelumnya tentang sistem korban,” kata para peneliti.
“SpyHammer dapat menjadi ancaman potensial terhadap keamanan dan privasi sistem sampai mekanisme pertahanan RowHammer yang definitif dan sepenuhnya aman diadopsi, yang merupakan tantangan besar mengingat kerentanan RowHammer terus memburuk seiring dengan peningkatan teknologi.”