前不久英特尔(Intel)与AMD的处理器才分别在聚合式安全与管理引擎(CSME)及一级数据缓存路预测器(L1D Way Predictor)发现安全漏洞,10日研究人员又再度发现英特尔芯片有黑客可从软件保护扩展指令集(Software Guard Extensions,SGX)窃取机密信息的安全漏洞,最令人担心的是,SGX扮演确保用户最敏感机密信息安全的数字保险箱角色。
目前所有名为“暂态执行”(Transient-Execution)的漏洞都源于“推测执行”(Speculative Execution),后者是CPU试图调用未来指令前猜测优化机制。Meltdown和Spectre是第一批被披露的暂态执行漏洞,随后ZombieLoad、RIDL、Fallout及Foreshadow等攻击开始横行,其中Foreshadow也会对英特尔SGX不利。
连隔离安全区也不再安全,即使能修补也会让安全防护性能大打折扣
通过让有安全弱点的系统执行存储在恶意网站的JavaScript或藏在恶意App里的程序代码,攻击者便可借此发动旁路攻击(Side-Channel Attack),让原本禁止任意访问的缓存内容被看光光。10日发现的新漏洞就像其他暂态执行漏洞,只能缓解无法修补,并完全颠覆英特尔SGX的核心机密保护机制。
其中最需密切关注的莫过于LVI(Load Value Injection)漏洞攻击,因为会窃取存储在SGX安全区的机密。搭配使用加密密钥、密码、数字版权管理(DRM)技术的App和其他机密数据通常会通过SGX运行在称为可信赖执行环境(Trusted Execution Environment,TEE)的强化容器。LVI还能从有漏洞CPU的其他区域窃取机密。
2015年推出的SGX,能在内存创建称为安全区(Enclave)的隔离环境。SGX使用坚固式加密和硬件级隔离确保数据和程序代码的机密性与防篡改能力。英特尔设计SGX是为了让应用程序和程序代码即使在操作系统、虚拟机管理程序或BIOS固件遭劫持的情况下,仍能确安全全。
由于修复或缓解硅芯片内部漏洞是不可能的任务,这使外部开发人员重新编译App使用的程序代码成为唯一缓解之道。但设计LVI漏洞攻击程序的研究团队却指出,通过程序编译的缓解法会对系统性能造成极大冲击。
“最棘手的是,LVI比以前的攻击更难缓解,因为几乎可对内存任何访问造成影响,”研究人员的研究概述写道:“与先前所有Meltdown类型攻击不同的是,LVI无法在现有处理器彻底缓解,因此需要代价高昂的软件修补,也就是修补有可能降低英特尔SGX安全区运算性能达2~19倍。”
云计算环境最可能遭受攻击,部分ARM芯片也有漏洞
基于LVI的攻击不太可能用于消费型机器,因为这些攻击实施的难度及门槛较高,且不乏许多更简单窃取家庭和小型企业机密信息的方法。最有可能的攻击场景会是两个以上客户配置同一个CPU的云计算环境。
英特尔声明写道:
英特尔并不认为LVI在操作系统和虚拟机管理员(VMM)皆被信赖的真实环境是可行的攻击方法。新LVI缓解指导说明与工具现在已发布,其并与先前发布的缓解修补程序搭配,以实质减少整个攻击面……
为了降低LVI对采用英特尔SGX平台和应用程序发动漏洞攻击的可能风险,Intel今天(周三)发布SGX平台软件和SDK组件更新修补程序……
受此漏洞牵连的英特尔CPU甚多,从消费型6~ 8代Core核心处理器到企业级E3到E7的Xeon处理器都有,英特尔并在官网公布相关处理器列表。虽然基本LVI主要针对英特尔CPU,但也会感染其他内置Meltdown漏洞的芯片,其中基于ARM设计的CPU证实有此漏洞,但尚不清楚是哪些ARM芯片受影响。
首先发现LVI漏洞的团队包括imec-DistriNet、比利时荷语区天主教鲁汶大学(KU Leuven)、美国伍斯特理工学院(Worcester Polytechnic Institute)、奥地利格拉兹科技大学(Graz University of Technology)、美国密西根大学(the University of Michigan)、澳洲阿德莱德大学(the University of Adelaide)和Data61的研究人员。上述团队通报英特尔之后,罗马尼亚安全公司Bitdefender的研究人员也披露这个漏洞。
(首图来源:英特尔)