记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

SgxSpectre攻击:可从Intel SGX Enclave中窃取数据

2018-03-08 12:20

Intel Software Guard eXtensions (SGX) 是现代Intel处理器的一个特征,允许应用创建enclave。SGX通过从可信计算基(Trusted computing base)中移除特权代码来增强应用的安全性。Enclave是CPU的处理内存中硬件隔离的一个区域,应用可以在此允许处理极度机密的细节,比如加密密钥、密码、用户数据等。

年初的Meltdown和Spectre攻击打破了操作系统和应用之间的隔离,以及应用程序之间的隔离,允许攻击者从OS kernel或其他应用中提取信息。

SgxSpectre攻击示例

下图是SgxSpectre攻击的一个简单示例,灰色区块表示enclave之外的代码和数据,白色区块表示enclave代码和数据。

1.JPG

enclave注入分支目标

污染BTB(branch target buffer)

为了注入分支目标来暂时改变enclave代码的控制流,攻击者需要在目标enclave外运行BTB污染代码。污染的方式有两种:

· 从相同进程注入。攻击者可以用enclave外但是相同进程内的代码污染BTB。因为BTB使用源地址的低32位作为BTB标签和标记,因此攻击者可以逆向4G内存的缓存,运行一个简洁的jump指令,其中源地址应该与目标enclave的低32位地址的分支指令一致,目标地址应该与目标enclave的低32位地址的secret-leaking指令一致。

· 从不同进程注入。攻击者可以从不同的进程注入分支目标。虽然这种攻击方法需要在BTB污染代码和目标enclave程序之间变化上下文环境,但是这种方法的优势在于攻击者可以把BTB代码封装他所控制的其他enclave中。这样就可以隐藏目标enclave程序的分支指令了。

控制enclave中的寄存器

因为所有的寄存器在ERESUME后都会被硬件还原,所以在AEX后当控制权返回到enclave时,攻击者就不能再控制enclave内的任何寄存器了。但是攻击者在enclave进入EENTER后还有机会控制一些寄存器。攻击者可以使用Ecall和0Ret来控制enclave中的寄存器。

通过侧信道泄露机密信息

SGXPectr攻击成功的关键在于推测执行指令会触发缓存,但是当错误发布的指令被处理器丢弃后,却没有适当的撤回(退回)机制。因此CPU缓存的推测执行的副作用就会从enclave中泄露信息。

因为enclave代码可以直接访问enclave外的数据,所以SGXPectre攻击可以推测地执行enclave内的内存引用来访问enclave外的内存位置,如图1所示。攻击者可以在攻击前复制一段内存阵列,然后reload每个记录并度量reload的时间来确定每个记录在推测执行的过程中有没有被enclave代码访问。

除了上面描述的缓存侧信道攻击外,理论上BTB侧信道、TLB侧信道攻击、DRAM缓存侧信道攻击都可以对窃取enclave内的信息。

赢取竞争条件

SGXSpectre攻击的核心是分支指令执行和推测指令执行的竞争,只有当分支指令晚于secret-leaking代码推测执行时,数据泄露才会发生。下图是SGXSpectre攻击中赢取竞争条件的场景。分支指令可以访问D1,secret-leaking代码的推测执行有指令提取I1和数据访问D2和D3。为了赢取竞争条件,攻击者要确保对I1,D2,D3的访问足够快。因为I1和D2是enclave中的,enclave中的TLB和页结构已经复制在AEX或EEXIT中了,攻击者最好的情况是从缓存中执行相应的地址转化。

4.JPG

SGX SDK中的SgxSpectre攻击代码模式分析

Meltdown和Spectre攻击都不能从SGX enclave中提取数据。因为软件库中的特定代码模式允许开发者在APP中增加SGX支持,这也就是SgxSpectre的工作原理。有漏洞的SGX开发套件包括Intel SGX, Rust-SGX和Graphene-SGX。

攻击者利用了SDK引入SGX enclaves的重复代码执行模式,这些模式可以监视缓存大小的微小变化。这是一种经典且非常有效的侧信道攻击。

官方回应

Intel发布的Spectre补丁的帮助不大,因为攻击者可以根据围绕补丁进行攻击。Intel官方消息说,含有SgxSpectre解决方案的Intel SGX SDK会在3月16日发布。开发者需要将新的SDK版本融合到SGX应用中,并向用户发布更新的版本。

总结

SgxPectre攻击可以完全打破SGX enclave的机密性,因为有漏洞的代码模式很难清除,攻击者可以在任意的enclave程序上执行SgxPectre攻击。因为有漏洞的代码模式存在于SDK运行时库中,因此任意所有用Intel官方SGX SDK开发的代码都会受到该攻击的影响,并且与enclave持续的实施方式无关。

参考及来源:

https://www.bleepingcomputer.com/news/security/sgxspectre-attack-can-extract-data-from-intel-sgx-enclaves/

http://web.cse.ohio-state.edu/~zhang.834/papers/SgxPectre.pdf

本文翻译自:https://www.bleepingcomputer.com/news/security/sgxspectre-attack-can-extract-data-from-intel-sgx-enclaves/如若转载,请注明原文地址: http://www.hackdig.com/03/hack-51373.htm

知识来源: www.4hou.com/technology/10593.html

阅读:86970 | 评论:0 | 标签:技术 SgxSpectre攻击

想收藏或者和大家分享这篇好文章→复制链接地址

“SgxSpectre攻击:可从Intel SGX Enclave中窃取数据”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词