前不久英特爾(Intel)與 AMD 的處理器才分別在聚合式安全與管理引擎(CSME)及一級資料快取路預測器(L1D Way Predictor)發現安全漏洞,10 日研究人員又再度發現英特爾晶片有駭客可從軟體保護擴充指令集(Software Guard Extensions,SGX)竊取機密資訊的安全漏洞,最令人擔心的是,SGX 扮演確保使用者最敏感機密資訊安全的數位保險箱角色。
目前所有名為「暫態執行」(Transient-Execution)的漏洞都源於「推測執行」(Speculative Execution),後者是 CPU 試圖呼叫未來指令前猜測優化機制。Meltdown 和 Spectre 是第一批被揭露的暫態執行漏洞,隨後 ZombieLoad、RIDL、Fallout 及 Foreshadow 等攻擊開始橫行,其中 Foreshadow 也會對英特爾 SGX 不利。
連隔離安全區也不再安全,即使能修補也會讓安全防護效能大打折扣
透過讓有安全弱點的系統執行儲存在惡意網站的 JavaScript 或藏在惡意 App 裡的程式碼,攻擊者便可藉此發動旁路攻擊(Side-Channel Attack),讓原本禁止任意存取的快取內容被看光光。10 日發現的新漏洞就像其他暫態執行漏洞,只能緩解無法修補,並完全顛覆英特爾 SGX 的核心機密保護機制。
其中最需密切關注的莫過於 LVI(Load Value Injection)漏洞攻擊,因為會竊取儲存在 SGX 安全區的機密。搭配使用加密金鑰、密碼、數位版權管理(DRM)技術的 App 和其他機密資料通常會透過 SGX 運行在稱為可信賴執行環境( Trusted Execution Environment,TEE)的強化容器。LVI 還能從有漏洞 CPU 的其他區域竊取機密。
2015 年推出的 SGX,能在記憶體建立稱為安全區(Enclave)的隔離環境。SGX 使用強固式加密和硬體級隔離確保資料和程式碼的機密性與防篡改能力。英特爾設計 SGX 是為了讓應用程式和程式碼即使在作業系統、虛擬機器管理程式或 BIOS 韌體遭劫持的情況下,仍能確保安全。
由於修復或緩解矽晶片內部漏洞是不可能的任務,這使外部開發人員重新編譯 App 使用的程式碼成為唯一緩解之道。但設計 LVI 漏洞攻擊程式的研究團隊卻指出,透過程式編譯的緩解法會對系統效能造成極大衝擊。
「最棘手的是,LVI 比以前的攻擊更難緩解,因為幾乎可對記憶體任何存取造成影響,」研究人員的研究概述寫道:「與先前所有 Meltdown 類型攻擊不同的是,LVI 無法在現有處理器徹底緩解,因此需要代價高昂的軟體修補,也就是修補有可能降低英特爾 SGX 安全區運算效能達 2~19 倍。」
雲端運算環境最可能遭受攻擊,部分 ARM 晶片也有漏洞
基於 LVI 的攻擊不太可能用於消費型機器,因為這些攻擊實施的難度及門檻較高,且不乏許多更簡單竊取家庭和小型企業機密資訊的方法。最有可能的攻擊場景會是兩個以上客戶配置同一個 CPU 的雲端運算環境。
英特爾聲明寫道:
英特爾並不認為 LVI 在作業系統和虛擬機器管理員(VMM)皆被信賴的真實環境是可行的攻擊方法。新 LVI 緩解指導說明與工具現在已釋出,其並與先前發布的緩解修補程式搭配,以實質減少整個攻擊面……
為了降低 LVI 對採用英特爾 SGX 平台和應用程式發動漏洞攻擊的可能風險,Intel 今天(週三)發布 SGX 平台軟體和 SDK 套件更新修補程式……
受此漏洞牽連的英特爾 CPU 甚多,從消費型 6~8 代 Core 核心處理器到企業級 E3 到 E7 的 Xeon 處理器都有,英特爾並在官網公布相關處理器列表。雖然基本 LVI 主要針對英特爾 CPU,但也會感染其他內含 Meltdown 漏洞的晶片,其中基於 ARM 設計的 CPU 證實有此漏洞,但尚不清楚是哪些 ARM 晶片受影響。
首先發現 LVI 漏洞的團隊包括 imec-DistriNet、比利時荷語區天主教魯汶大學(KU Leuven)、美國伍斯特理工學院(Worcester Polytechnic Institute)、奧地利格拉茲科技大學( Graz University of Technology)、美國密西根大學(the University of Michigan)、澳洲阿德萊德大學( the University of Adelaide)和 Data61 的研究人員。上述團隊通報英特爾之後,羅馬尼亞安全公司 Bitdefender 的研究人員也揭露這個漏洞。
(首圖來源:英特爾)
