娟子

近日，美國(guó)四所大學(xué)的一組學(xué)者發(fā)現(xiàn)了全新的邊信道攻擊方法，他們能夠利用現(xiàn)代CPU中的推測(cè)執(zhí)行功能來獲取用戶CPU數(shù)據(jù)，泄漏敏感數(shù)據(jù)和數(shù)據(jù)安全邊界。這種邊信道攻擊方法與之前的Meltdown和Specter漏洞利效果相似，但研究人員這次利用的是CPU推測(cè)執(zhí)行功能中的一個(gè)新片段。

來自威廉瑪麗學(xué)院、卡內(nèi)基梅隆大學(xué)、加州大學(xué)河濱分校和賓厄姆頓大學(xué)的研究人員將這一新技術(shù)命名為BranchScope。這種在攻擊方式上主要針對(duì)“分支預(yù)測(cè)”行為，這個(gè)特點(diǎn)與Spectre變體2（CVE-2017-5715）的漏洞利用方法十分相似。但Spectre變體2利用的是分支的目標(biāo)緩沖區(qū)域（Branch Target Buffer），BranchScope利用的是模式歷史表。

BranchScope方法可以讓攻擊者取代CPU進(jìn)行指令執(zhí)行的決策。在這種方式之下，攻擊者可以在計(jì)算機(jī)的特定區(qū)域上獲取敏感信息。目前，研究員已經(jīng)成功在英特爾處理器上通過了漏洞利用復(fù)現(xiàn)測(cè)試。

學(xué)術(shù)界表示，BranchScope是第一個(gè)針對(duì)“分支預(yù)測(cè)”的邊信道攻擊方法，并且該技術(shù)也可用于檢索存儲(chǔ)在SGX的內(nèi)容（英特爾CPU的安全區(qū)域）。攻擊者不需要逆向設(shè)計(jì)分支預(yù)測(cè)器操作的細(xì)節(jié)，只需要從用戶空間的預(yù)測(cè)執(zhí)行狀態(tài)進(jìn)行簡(jiǎn)單的操作，BranchScope方法也可以擴(kuò)展到攻擊SGX飛地上。

研究團(tuán)隊(duì)在實(shí)例測(cè)試中對(duì)Intel x86處理器進(jìn)行了漏洞利用，如Sandy Bridge、Haswell以及Skylake。攻擊者只需要具備用戶權(quán)限即可開始執(zhí)行漏洞利用過程，失敗概率小于1%。

這種全新的攻擊手段目前還沒有應(yīng)對(duì)方案。之前Spectre漏洞補(bǔ)丁無法應(yīng)對(duì)這次的BranchScope攻擊。

但研究團(tuán)隊(duì)表示，針對(duì)BranchScope攻擊進(jìn)行安全補(bǔ)丁的修復(fù)應(yīng)該不是難題———仍然需要從軟件和硬件層面進(jìn)行雙重的修復(fù)工作。

英特爾發(fā)言人表示，英特爾正在與這些研究人員合作，目前已經(jīng)了解到這個(gè)漏洞的細(xì)節(jié)信息了。英特爾預(yù)計(jì)現(xiàn)有的軟件修復(fù)措施，可用于已知的邊信道攻擊，英特爾相信與研究界的密切合作會(huì)是保護(hù)客戶及其數(shù)據(jù)的最佳途徑之一。英特爾很感謝研究團(tuán)隊(duì)為之的努力工作。

研究團(tuán)隊(duì)的研究結(jié)果“BranchScope：A New Side-Channel Attack on Directional Branch Predictor”會(huì)在第23屆ACM國(guó)際編程語言和操作系統(tǒng)架構(gòu)會(huì)議（ASPLOS 2018）上公開。

針對(duì)這個(gè)漏洞，研究者也提出了從軟件或者硬件方面進(jìn)行的緩解方案：

1.軟件方面緩解

通過算法移除依賴于秘密數(shù)據(jù)的分支結(jié)果，這種技術(shù)被稱為if-conversion，是一種編譯器優(yōu)化技術(shù)。它使用條件指令（如cmov）將條件分支轉(zhuǎn)換為順序代碼，有效地將控制依賴關(guān)系轉(zhuǎn)化為數(shù)據(jù)依賴關(guān)系。通過移除條件分支指令，從而緩解BranchScope攻擊。然而，將這種保護(hù)機(jī)制應(yīng)用于大型代碼庫是很困難的，只能局限于使用敏感數(shù)據(jù)的程序的關(guān)鍵部分。

2.硬件防御

通過對(duì)分支預(yù)測(cè)器的結(jié)構(gòu)進(jìn)行重新設(shè)計(jì)也可緩解這個(gè)攻擊，具體的緩解措施包含：

（1）PHT隨機(jī)化

BranchScope需要在PHT（模式歷史表，pattern history table）中創(chuàng)建可預(yù)測(cè)的沖突（例如，基于虛擬地址）。為了防止這種沖突，可以修改PHT索引函數(shù)作為該軟件實(shí)體唯一的輸入數(shù)據(jù)。這可以作為SGX硬件狀態(tài)的一部分，也可以是進(jìn)程生成的一些隨機(jī)數(shù)。一次隨機(jī)化容易受到探測(cè)攻擊，因此可使用周期性的隨機(jī)化（這會(huì)犧牲一些性能），這個(gè)解決方案類似于將緩存映射的隨機(jī)化作為防止側(cè)信道攻擊的保護(hù)。盡管這種緩解技術(shù)具有負(fù)面的性能開銷，但它為大多數(shù)安全敏感分支提供了完美的安全保護(hù)。

（2）BPU分區(qū)

分支預(yù)測(cè)單元（branch prediction unit，BPU）分區(qū)可使攻擊者和受害者不共享相同的結(jié)構(gòu)。如，SGX代碼可使用不同于普通代碼的分支預(yù)測(cè)器，或者結(jié)構(gòu)支持BPU私有分區(qū)，通過分區(qū)，攻擊者失去了與受害者產(chǎn)生沖突的能力。

（3）其它解決方案

除了以上的緩解措施，也可通過移除或增加性能計(jì)數(shù)器的噪聲或測(cè)量時(shí)間來消除攻擊者測(cè)量分支結(jié)果的準(zhǔn)確能力。另一種方案是更改有限狀態(tài)機(jī)（Finite State Machines，F(xiàn)SM），使其更隨機(jī)，從而干擾攻擊者推斷受害者分支方向的能力。最后一種解決方案主要在于探測(cè)攻擊的痕跡，如果檢測(cè)到正在進(jìn)行的攻擊，可凍結(jié)或者殺死攻擊者的進(jìn)程。在SGX中攻擊者如果已經(jīng)破壞了操作系統(tǒng)，這樣就比較難辦，檢測(cè)到攻擊程序正在進(jìn)行時(shí)，需要SGX代碼重新映射自身或停止執(zhí)行。