Un equipo de investigadores de seguridad del Instituto de Tecnología de Georgia y la Universidad de Ruhr, Bochum, ha demostrado dos nuevos ataques de canales laterales dirigidos a Apple Silicon que podrían explotarse para filtrar información confidencial de navegadores web como Safari y Google Chrome.
Los ataques han sido ataques de especulación de datos con nombre en código a través de la predicción de la dirección de carga en Apple Silicon (SLAP) y rompiendo la CPU de Apple M3 a través de predicciones de salida de carga falsas (FLOP). Apple fue notificado de los problemas en mayo y septiembre de 2024, respectivamente.
Las vulnerabilidades, como el ataque de IleAkage revelado previamente, se construyen en Spectre, que surge cuando la ejecución especulativa «se enfrenta», dejando rastros de predicciones erróneas en el estado de microarquitectura de la CPU y el caché.
La ejecución especulativa se refiere a un mecanismo de optimización del rendimiento en procesadores modernos que tienen como objetivo predecir el flujo de control que la CPU debe tomar y ejecutar instrucciones a lo largo de la rama de antemano.
En el caso de una predicción errónea, los resultados de las instrucciones transitorias se descartan y reveren todos los cambios realizados en el estado después de la predicción.
Estos ataques aprovechan el hecho de que la ejecución especulativa deja rastros para obligar a una CPU a hacer una predicción errónea y ejecutar una serie de instrucciones transitorias, cuyo valor podría inferirse a través de un canal lateral incluso después de que la CPU retrocede todos los cambios en el estado debido a la predicción errónea.
«En Slap and Flop, demostramos que las CPU de Apple recientes van más allá de esto, no solo predicen el flujo de control que debe tomar la CPU, sino también el flujo de datos en la que debe operar la CPU si los datos no están disponibles desde el subsistema de memoria», «El» Dijeron los investigadores.
«A diferencia de Spectre, las predicciones erróneas en el flujo de datos no dan como resultado directamente en la CPU que ejecutan especulativamente las instrucciones incorrectas. En su lugar, dan como resultado que la CPU ejecute instrucciones arbitrarias en los datos incorrectos. Sin embargo, mostramos que esto se puede combinar con las técnicas de indirección para ejecutar incorrectamente instrucciones.»
Slap, que afecta a los chips M2, A15 y más nuevos, se dirige a lo que se llama un predictor de la dirección de carga (LAP) que los chips de Apple usan para adivinar la siguiente dirección de memoria, la CPU recuperará los datos de los patrones de acceso de memoria anteriores.
Sin embargo, si la vuelta predice una dirección de memoria incorrecta, puede hacer que el procesador realice cálculos arbitrarios en datos fuera de los límites bajo ejecución especulativa, abriendo así la puerta a un escenario de ataque en el que un adversario puede recuperar contenido de correo electrónico de un registro. En el comportamiento de usuario y navegación del navegador Safari.
Por otro lado, Flop impacta a los chips M3, M4 y A17, y apunta a otra característica llamada Value de carga Predictor (LVP) que está diseñada para mejorar el rendimiento de la dependencia de los datos al «adivinar el valor de datos que el subsistema de memoria devuelve en El siguiente acceso por el núcleo de la CPU «.
El flop causa «las verificaciones críticas en la lógica del programa para que la seguridad de la memoria sea omitido, abriendo superficies de ataque para fugas de secretos almacenados en la memoria», señalaron los investigadores, y agregan que podrían ser armado contra navegadores de Safari y Chrome para lograr varias primitivas de lectura de memoria arbitraria, como recuperar el historial de ubicación, los eventos del calendario y la información de la tarjeta de crédito.
La divulgación se produce casi dos meses después de que los investigadores de la Universidad de Corea detallaron a Sysbumps, que describieron como el primer ataque de aleatorización de la aleatorización del diseño del espacio de la dirección del núcleo (KASLR) contra macOS para el silicio de manzana.
«Al usar dispositivos de tipo Spectre en las llamadas al sistema, un atacante no privilegiado puede causar traducciones de las direcciones de núcleo elegidas por el atacante, lo que hace que el TLB cambie de acuerdo con la validez de la dirección», dijeron Hyerean Jang, Taehun Kim y Youngjoo Shin. «Esto permite la construcción de un ataque primitivo que rompe a Kaslr sin pasar por el aislamiento del núcleo».
Por separado, la nueva investigación académica también ha descubierto un enfoque para «combinar múltiples canales laterales para superar las limitaciones al atacar el núcleo», encontrando ese etiquetado de espacio de dirección «, la misma característica que hace que la mitigación de los canales laterales sea eficiente, abre un nuevo superficie de ataque «.
Esto incluye un ataque práctico llamado etiquetado, que abusa de los buffers de traducción marcados (TLB), que hace que la separación de los espacios de núcleo y las direcciones de usuario sea eficiente, y la información de traducción residual para romper Kaslr incluso frente a las mitigaciones de última generación «sobre» Arquitecturas modernas.
«Esta fuga es suficiente para derodomizar completamente KASLR cuando se usa en combinación con un ataque secundario de canal lateral que usa el núcleo como un diputado confundido para filtrar información adicional sobre su espacio de direcciones», dijo el investigador de Vusec Jakob Koschel.