ZombieLoad, un tip de atac asupra procesoarelor Intel, făcut public în Mai 2019, se întoarce cu o versiune nouă. Versiunea nouă a atacului ZombieLoad, parte din clasa de atacuri specifice MDS (microarchitectural data structures), poate ataca și procesoarele mai noi de la Intel ce au suferit modificări hardware ca soluție la atacuri din aceeași clasa (dar mai vechi).

În comparație cu Meltdown, Spectre sau Foreshadow care au ca țintă datele stocate în memoria cache L1, atacurile RIDL, Fallout sau ZombieLoad speculeză datele protejate prin definiție de mecanisme microarhitecturale, hardware (microarchitectural data structures sau prescurtat MDS).

Atacurile MDS (RIDL, au fost descoperite, investigate și raportate de catre Michael Schwarz, Moritz Lipp, Daniel Gruss (Graz University of Technology) și Jo Van Bulck (imec-DistriNet, KU Leuven)

Familia de atacurile MDS care speculează accesarea datelor prin tehnica ce poartă numele de side channel, sunt folosite pentru următoarele structuri microarhitecturale:

  • Store buffers exploatate de CVE-2018-12126 - Fallout: Buffers temporare ce conțin date si date de adresare
  • Fill buffers exploatate de CVE-2018-12127: Buffers temporare pentru memoria cache a CPU-ului
  • Load ports exploatate de CVE-2018-12130 - Zombieload attack sau RIDL: Buffers temporare folosite pentru a întregistra datele în regiștrii

ZombieLoad V2 (CVE-2019-11135) sau TAA (TSX Asynchronous Abort) e o versiune ce are la bază ZombieLoad V1 și care exploateză procesoarele noi, îmbunătățite fizic arhitectural, pentru care Intel a menționat și confirmat că sunt protejate împotriva atacurilor la nivel de hardware menționate mai sus. Atacul în sine are loc atunci când un cod malițios e folosit pentru a repara datele folosita de structura load ports exploatând memoria subsistemului distribuită între nucleul logic al procesorului și nucleul fizic. Astfel, sunt extrase date manipulate de procese ce aparțin user-ului sau sistemului. Datele extrase la nivel de user pot fi, de exemplu, url-uri, istoricul browser-ului, chei specifice userului, iar la nivel de sistem, poate fi extras, de exemplu, cheia de cripare a discului.

Un exemplu practic al atacului - https://zombieloadattack.com/#

Cât de mare este aria de acoperire al acestui exploit? Conform site-ului Zombieload, din punct de vedere software, acest exploit poate funcționa pe toate tipurile de sisteme de operare desktop, cloud sau virtualizate și pe toate procesoarele Intel si Xeon fabricare începând cu anul 2011 (aparent doar acest tip de procesoare au fost testate).

Code proof-of-concept - https://github.com/IAIK/ZombieLoad

ZDNET au luat legătura cu Intel și au fost informați că un update de CPU firmware a fost făcut public pe site-ul lor. Daniel Gruss (Graz University of Technology), unul dintre autorii proiectului confirmă acest lucru cu tweet-ul de mai jos.


https://vividfox.me/
https://zombieloadattack.com/#
https://www.zdnet.com/article/intels-cascade-lake-cpus-impacted-by-new-zombieload-v2-attack/
https://www.cyberus-technology.de/posts/2019-05-14-zombieload.html
https://cpu.fail/#
https://mdsattacks.com/
https://software.intel.com/security-software-guidance/insights/deep-dive-intel-analysis-microarchitectural-data-sampling
https://blogs.intel.com/technology/2019/11/ipas-november-2019-intel-platform-update-ipu/