边信道攻击(side channel attack 简称SCA),又称侧信道攻击:针对加密电子设备在运行过程中的时间消耗、功率消耗或电磁辐射之类的侧信道信息泄露而对加密设备进行攻击的方法被称为边信道攻击。这类新型攻击的有效性远高于密码分析的数学方法,因此给密码设备带来了严重的威胁。
Bitdefender高级研究人员DanHoreaLuţaş和AndreiVladLuţaş最近发现了一个新的 CPU漏洞,并演示了如何利用被称为SWAPGS 攻击的侧信道攻击来利用它。该漏洞今天已公开报告为CVE-2019-1125。
虽然现在已经知道侧信道攻击有一段时间了,但基于投机执行的攻击是新的,并且有迹象表明它们会持续一段时间。迄今为止,最着名的例子是Meltdown,Spectre,L1TF和Microarchitectural Data Sampling(MDS)。
推测执行允许CPU在知道结果是否需要之前执行指令。推测执行中的漏洞可以通过旁道攻击来利用。成功利用允许非特权攻击者绕过硬件提供的基本内存隔离实施。这允许攻击者获得对非特权进程通常无法访问的特权数据的访问权限。
解决这些漏洞极具挑战性。 由于它们深入到现代CPU的结构和操作中,因此完全消除漏洞涉及更换硬件或禁用可大大提高性能的功能。 同样,创建缓解机制非常复杂,并且可能妨碍通过推测执行功能实现的性能提升。 例如,完全消除针对英特尔CPU的推测执行功能的旁道攻击的可能性将需要完全禁用超线程,这将严重降低性能。
这类漏洞的缓解措施难以实施。它们通常分为三类:硬件修复,软件缓解或微代码缓解。所有先前暴露的侧通道攻击都通过三种方法中的至少一种来减轻。
在今天发布的技术白皮书中,Bitdefender研究人员描述了SWAPGS攻击。这种攻击是一种从内核泄漏敏感信息的新方法,因为它绕过了所有已知的旁道攻击缓解技术。这是通过滥用SWAPGS指令可以推测性地执行的事实来实现的。攻击者可以强制内核中的任意内存解除引用,这会在数据缓存中留下痕迹。攻击者可以拾取这些****,以推断位于给定内核地址的值。
Bitdefender通过Hypervisor Introspection(HVI)提供现有的缓解措施。HVI适用于Citrix Hypervisor,在Hypervisor底层,对Windows和Linux VM提供无代理防护。
DEMO 演示 : Bitdefender Hypervisor Instropection ****SWAPGS攻击
影响范围
在64位Intel硬件上运行的未修补Windows系统容易泄漏敏感内核内存,包括用户模式。SWAPGS攻击规避了针对先前对推测执行中的漏洞的侧通道攻击而部署的所有已知缓解技术。
解决这些漏洞极具挑战性。由于它们深入到现代CPU的结构和操作中,因此完全消除漏洞涉及更换硬件或禁用可大大提高性能的功能。同样,创建缓解机制非常复杂,并且可能妨碍通过推测执行功能实现的性能提升。例如,完全消除针对英特尔CPU的推测执行功能的旁道攻击的可能性将需要完全禁用超线程,这将严重降低性能。
Bitdefender是如何发现SWAPGS攻击的
自Meltdown和Spectre发布以来,研究人员已经仔细研究了现代CPU的推测执行功能,特别是针对现代CPU的以性能为中心的功能的侧通道攻击。
Bitdefender研究人员与英特尔合作了一年多,然后公开披露了这一新攻击。Bitdefender还与微软密切合作,后者开发并发布了一个补丁。生态系统中的其他供应商也参与其中。
Bitdefender发表了一份深入的白皮书,其中包括详细的披露时间表,描述了攻击背后的研究。Bitdefender还发布了博客文章,解释了攻击和视频演示。
哪些系统受到影响?
SWAPGS攻击会影响运行Intel Ivy Bridge或更新CPU的任何设备
缓解措施
Bitdefender已经演示了Hypervisor Introspection如何通过删除在未修补的Windows系统上成功所需的条件来阻止攻击。这种缓解措施没有引起明显的性能下降。虽然强烈建议从Microsoft部署补丁,但Hypervisor Introspection可以提供有效的补偿控制,直到可以修补系统。
Hypervisor Introspection会分析来宾VM的内存并识别感兴趣的对象。Bitdefender在发布任何适用的补丁之前,通过检测每个易受攻击的SWAPGS指令来确保它不会以推测方式执行,从而防止内核内存泄漏,从而减轻了此漏洞。
尽管他们付出了最大的努力,但许多组织仍在努力在理想的时间线上部署补丁Hypervisor Introspection可帮助他们弥补严重安全漏洞的补丁发布和部署之间的差距。
关于Hypervisor Instropection
Hypervisor Introspection利用从虚拟机管理程序相对于底层硬件和虚拟化操作系统(包括Windows,Linux,桌面和服务器虚拟机)所获得的固有优势。Hypervisor Introspection实时检查正在运行的虚拟机的原始内存。它寻找基于内存的攻击技术的迹象,这些技术一直用于利用已知和未知的漏洞。
Hypervisor Introspection是Bitdefender独有的强大安全方法。Bitdefender的研究和开发与Xen Project合作,在Xen管理程序中扩展Hypervisor Instropection(VMI)。Citrix已将Citrix Hypervisor中的功能用作Direct Inspect API。Bitdefender还继续与KVM和其他开源社区合作,此外还进一步研究和开发非虚拟化场景,如嵌入式系统。
另一个备受瞩目的Hypervisor Introspection功能的例子是在EternalBlue发布之前发布的,后者在WannaCry****软件浪潮中使用。由于不了解特定的网络攻击或潜在漏洞,Hypervisor Introspection阻止了攻击,因为它利用了缓冲区溢出攻击技术。
虽然利用缓冲区溢出来利用漏洞并不新鲜,但WannaCry攻击者迅速采用EternalBlue再次证明,组织通常无法及时部署关键补丁以防止网络攻击。无论是考虑尝试和真正的攻击技术,如缓冲区溢出,堆喷射和代码注入,还是利用最深层硬件功能中的漏洞的高度复杂攻击,组织必须编写一种新的安全方法,例如Hypervisor Introspection,进入他们的安全结构。
Hypervisor Introspection演示了安全性,硬件,虚拟化和操作系统供应商如何合作以生成强大的新安全方法,以阻止高度复杂的攻击。
Bitdefender建议
湖南阳光电脑维修培训学校,常年面向临潭地区招生,零基础实战教学,小班授课,教学质量更有保证,全程创业指导。25年电脑维修技术沉淀,80%实操+20%理论,实战+实例+实践的教学方法授课.为临潭地区的电脑维修学员提供广阔的就业机会。-临潭电脑维修培训学校