Meltdown/Spectre: a Month Has Passed

Transcript

1. Meltdown/Spectre спустя месяц Artyom Gavrichenkov <[email protected]> GPG: 2deb 97b1 0a3c

   151d b67f 1ee5 00e7 94bc 4d08 9191

2. Весна: R&D: Google Project Zero, Университет в Граце и пр.

3. Весна: R&D: Google Project Zero, Университет в Граце и пр.

   Лето: Приватное раскрытие информации в Intel, ARM, AMD, Linux, …

4. Весна: R&D: Google Project Zero, Университет в Граце и пр.

   Лето: Приватное раскрытие информации в Intel, ARM, AMD, Linux, … Осень: Разработка и постепенный релиз патчей для ОС и прикладных программ

5. 9 января Запланированная дата снятия эмбарго

6. 9 января Запланированная дата снятия эмбарго 26 декабря: Письмо Тома

   Лендаки (AMD) в LKML

7. 9 января Запланированная дата снятия эмбарго 26 декабря: Письмо Тома

   Лендаки (AMD) в LKML 2 января Статья The Register

8. 9 января Запланированная дата снятия эмбарго 26 декабря: Письмо Тома

   Лендаки (AMD) в LKML 2 января Статья The Register 3 января Full disclosure
9. None
10. None
11. None

12. Branch target prediction https://www.jilp.org/vol8/v8paper1.pdf

13. Meltdown

14. Meltdown Чтение любого адресного пространства, отображаемого в недоверенный процесс Решение:

15. Meltdown Чтение любого адресного пространства, отображаемого в недоверенный процесс Решение:

    не отображать чужое адресное пространство в недоверенный процесс!

16. Spectre

17. Spectre 1. Недоверенный код с правами на I/O

18. Spectre 1. Недоверенный код с правами на I/O 2. Код

    имеет доступ к высокоточным таймерам

19. Spectre 1. Недоверенный код с правами на I/O 2. Код

    имеет доступ к высокоточным таймерам 3. Код исполняется в оптимизированном режиме*

20. Spectre 1. Недоверенный код с правами на I/O 2. Код

    имеет доступ к высокоточным таймерам 3. Код исполняется в оптимизированном режиме* 4. Любое из трёх:

21. Spectre 1. Недоверенный код с правами на I/O 2. Код

    имеет доступ к высокоточным таймерам 3. Код исполняется в оптимизированном режиме* 4. Любое из трёх: • Нет обновлений ОС для Meltdown • В процессе VM хранится сенситивная информация • Атакующий имеет доступ к I/O других процессов

22. retpoline

23. retpoline .macro NOSPEC_CALL target jmp 1221f 1222: push \target jmp

    __x86.indirect_thunk 1221: call 1222b .endm

24. retpoline .macro NOSPEC_CALL target jmp 1221f 1222: push \target jmp

    __x86.indirect_thunk 1221: call 1222b .endm

25. retpoline .macro NOSPEC_CALL target jmp 1221f 1222: push \target jmp

    __x86.indirect_thunk 1221: call 1222b .endm

26. .macro NOSPEC_CALL target jmp 1221f 1222: push \target jmp __x86.indirect_thunk

    1221: call 1222b .endm retpoline

27. .macro NOSPEC_CALL target jmp 1221f 1222: push \target jmp __x86.indirect_thunk

    1221: call 1222b .endm retpoline

28. .macro NOSPEC_CALL target jmp 1221f 1222: push \target jmp __x86.indirect_thunk

    1221: call 1222b .endm retpoline

29. retpoline .macro NOSPEC_CALL target jmp 1221f 1222: push \target jmp

    __x86.indirect_thunk 1221: call 1222b .endm

30. retpoline CFI_STARTPROC call retpoline_call_target 2: lfence /* stop speculation */

    jmp 2b retpoline_call_target: lea 8(%rsp), %rsp ret CFI_ENDPROC

31. retpoline CFI_STARTPROC call retpoline_call_target 2: lfence /* stop speculation */

    jmp 2b retpoline_call_target: lea 8(%rsp), %rsp ret CFI_ENDPROC

32. CFI_STARTPROC call retpoline_call_target 2: lfence /* stop speculation */ jmp

    2b retpoline_call_target: lea 8(%rsp), %rsp ret CFI_ENDPROC retpoline

33. retpoline CFI_STARTPROC call retpoline_call_target 2: lfence /* stop speculation */

    jmp 2b retpoline_call_target: lea 8(%rsp), %rsp ret CFI_ENDPROC

34. retpoline CFI_STARTPROC call retpoline_call_target 2: lfence /* stop speculation */

    jmp 2b retpoline_call_target: lea 8(%rsp), %rsp ret CFI_ENDPROC

35. retpoline Re: [PATCH 0/7] IBRS patch series Andrew Cooper Thu,

    4 Jan 2018 19:40:31 +0000 Retpoline as a mitigation strategy swaps indirect branches for returns, to avoid using predictions which come from the BTB, as they can be poisoned by an attacker. The problem with Skylake+ is that an RSB underflow falls back to using a BTB prediction, which allows the attacker to take control of speculation. Subject: From: Date:

36. retpoline -> IBRS/IBPB [PATCH 0/7] IBRS patch series Tim Chen

    Thu,4 Jan 2018 09:56:41 -0800 This patch series enables the basic detection and usage of x86 indirect branch speculation feature.It enables the indirect branch restricted speculation (IBRS) on kernel entry and disables it on exit. It enumerates the indirect branch prediction barrier (IBPB). The x86 IBRS feature requires corresponding microcode support. Subject: From: Date:

37. JS VM в браузере • performance.now() и другие таймеры загрублены

    до 1 мс • SharedArrayBuffer отключён

38. JS VM в Chrome • performance.now() и другие таймеры загрублены

    до 1 мс • SharedArrayBuffer отключён §“Full Site Isolation”

39. JS VM в Webkit • performance.now() и другие таймеры загрублены

    до 1 мс • SharedArrayBuffer отключён §“Pointer poisoning” §“Index masking”

40. class Foo : public Base { public: .... private: int

    m_x; Bar* m_y; }; Pointer poisoning

41. class Foo : public Base { public: .... private: int

    m_x; Bar* m_y; }; Pointer poisoning

42. class Foo : public Base { public: .... private: int

    m_x; Bar* m_y; }; struct Data {int x; Bar* y;}; Pointer poisoning

43. class Foo : public Base { public: .... private: ConstExprPoisoned

    <FooDataKey, Data> m_data; struct Data {int x; Bar* y;}; }; Pointer poisoning

44. ConstExprPoisoned <FooDataKey, Data> – во время компиляции вычисляется poison value

    Pointer poisoning

45. • Во время компиляции вычисляется poison value • Значение порядка

    1 << 40 достаточно • Методика сложнее; используется ГСЧ Pointer poisoning

46. Index masking

47. int tmp = intArray->vector[ index & intArray->mask ]; Index masking

48. int tmp = intArray->vector[ index & intArray->mask ]; • mask:

    округляем размер массива вверх до степени двойки Index masking

49. Дальнейшее развитие концепции: кастомный аллокатор • array_len > 2 *

    sysconf(SC_PAGE_SIZE) • /proc/self/maps : район памяти размера 2N байт, N>= log 2 (array_len) • mmap(MAP_FIXED) Index masking
50. None

51. Q&A Artyom Gavrichenkov <[email protected]>