子比主题,更优雅的Wordpress主题
更优雅的WordPress网站主题:子比主题!全面开启

CVE-2018-3639最新边信道攻击详细分析 – 作者:创世之枪

0100

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

前言

出于对CPU相关漏洞的兴趣,我深入研究了下CVE-2018-3639(Spectre4,幽灵4),有不正确的地方欢迎指正。

根据微软的一篇博客,已经发现的可用于揣测执行边信道攻击的分支(Speculation primitives)共有4种,分别是条件分支预测失误(conditional branchmisprediction间接分支预测失误(indirect branch misprediction异常传递或延期(exception deliveryor deferral以及今天的主角揣测存储绕过(Speculative StoreBypass

详细分析

直接上代码的最重要部分,此代码经过个人添加了注释并修改过一些BUG,可以在文章最后下载源码对照查看每个变量的含义: 

代码的最重要部分

最重要的代码在115行和122,在C语言层面看不出任何问题,请查看汇编代码:

汇编代码

汇编代码中红色部分为115行代码,绿色部分为122行代码,紫色部分即为出现问题的关键代码

这两行代码出现问题的原因是执行当前代码的核心认为两条指令仅存在输出相关,因此可以使用寄存器重命名的方式并行执行,在《计算机体系结构:量化研究方法(第五版)》中可以找到相关解释:

书籍中的相关解释

并行执行不一定会出问题,还需要让执行单元先执行testfun+138指令再执行test+135指令,这样才能保证testfun+138会错误的影响cache。示例代码能够达成这个条件的原因是test+135指令与testfun+128指令相关,因此需要等待前面代码执行完毕,而test+138则没有这个顾虑

继续深入到核心内部的执行单元,查看其到底是如何完成并行执行的,下图是Intel的Sandy Bridge微架构执行单元:

Intel的Sandy Bridge微架构执行单元

查询AMD的17代处理器微架构文档,查询到如下信息:

image.png

AMD的17代处理器微架构文档

所以可以判断上述两条宏观指令分别被翻译为单条存储相关微指令单条加载相关微指令,结合上述寄存器重命名技术,因此可以判断在此微架构中使用port2port4来并行执行两条指令,真相大白。

虽然test+135存储指令执行完毕后,test+138指令由于错误会回退,但是已经受到影响的cache不会回退,所以可以结合rdtscp指令对cache lin 进行时间测试观察是否cache hit即可判断出到数据是多少。

不知读者还记得幽灵1不,它主要是由于错误的分支预测导致的 cache line 缓存了错误的数据。而幽灵4,主要是由于错误的揣测执行(暗自揣测圣意认为两条指令无关)造成的Meltdown,来源想不起来了。虽然AMD也有异常抑制技术,但是不受到该漏洞影响的原因是核心的执行单元有限,个人觉得应该是AMD的Store和load执行单元为同一个所以免疫,有待后续查证,附带上几个Intel和AMD的架构以供参考:

Intel Haswell微架构:

Intel Haswell微架构

Intel Sandy Bridge微架构:

Intel Sandy Bridge微架构

AMD 17th 架构:

AMD 17th 架构

DEMO程序编译命令:

gcc -o Spec4 Speculative4.c -Wall-DHIT_THRESHOLD=50 -DNO_INTERRUPTS -ggdb

参考文献

漏洞PoC地址:https://www.exploit-db.com/exploits/44695/

微软针对CVE-2018-3639的解释:https://blogs.technet.microsoft.com/srd/2018/05/21/analysis-and-mitigation-of-speculative-store-bypass-cve-2018-3639/

Intel Sandy Bridge微架构详解:https://en.wikichip.org/wiki/intel/microarchitectures/sandy_bridge_(client)#MSROM_.26_Stack_Engine

Intel Sandy Bridge微架构详解(中文):http://www.mouseos.com/arch/intel_microarchitecture.html

AMD 17代处理器优化说明:https://developer.amd.com/wordpress/media/2013/12/55723_3_00.ZIP

《计算机体系结构:量化研究方法(第五版)》

Intel官方手册:64-ia-32-architectures-optimization-manual.pdf

AMD开发手册:https://developer.amd.com/resources/developer-guides-manuals/

已知的CPU漏洞汇总:https://wiki.osdev.org/CPU_Bugs

*本文作者:创世之枪,转载请注明来自FreeBuf.COM

来源:freebuf.com 2018-08-10 08:00:00 by: 创世之枪

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
安全网站文章
喜欢就支持一下吧
点赞0
分享
相关推荐
安全小百科-公司成功上市啦! – 作者:KOAL格尔国信
公司成功上市啦! – 作者:KOAL格尔国信
公司成功上市啦! – 作者:KOAL格尔国信
3年前 4812
安全小百科-GeoServer漏洞利用总结及案例参考 – 作者:vlong6
GeoServer漏洞利用总结及案例参考 – 作者:vlong6
GeoServer漏洞利用总结及案例参考 – 作者:vlong6
3年前 1605
安全小百科-科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa
科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa
科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa
3年前 876
安全小百科-Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
3年前 752
安全小百科-Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
3年前 639
安全小百科-『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
3年前 553
评论 抢沙发

请登录后发表评论

搜索
开启精彩搜索
标签云
龟背龚某龙鱼龙马龙首龙车龙身龙芯龙生九子龙火龙海市龙泉驿区龙岩市龙女龙南县龙凤龙伯龍首龍門龍身
公司成功上市啦! - 作者:KOAL格尔国信-安全小百科

公司成功上市啦! – 作者:KOAL格尔国信

admin的头像-安全小百科3年前
048120
Comdev eCommerce 3.0 - 'config.php' Remote File Inclusion-安全小百科

Comdev eCommerce 3.0 – ‘config.php’ Remote File Inclusion

admin的头像-安全小百科3年前
47320
GeoServer漏洞利用总结及案例参考 - 作者:vlong6-安全小百科

GeoServer漏洞利用总结及案例参考 – 作者:vlong6

admin的头像-安全小百科3年前
016050
女祭女戚-安全小百科

女祭女戚

admin的头像-安全小百科3年前
011390
帆软10.0 Getshell漏洞分析-安全小百科

帆软10.0 Getshell漏洞分析

admin的头像-安全小百科3年前
010320
科锐逆向线上班完整版视频2020年 - 作者:hgjhf63fa-安全小百科

科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa

admin的头像-安全小百科3年前
08760
恐龙抗狼扛的头像-安全小百科

恐龙抗狼扛9月前0

kankan
admin的头像-安全小百科

啊啊啊啊3年前0

66666666666666