姗姗来迟的Meltdown/Spectre分析-电子发烧友网

Meltdown/Spectre在2018年初闹得沸沸扬扬, 可以说是有史以来最有影响的cpu漏洞了. 当时有过简单了解, 但是不够深入, 这两天重新又看了一下.

背景知识

乱序执行

cpu的乱序执行一般都使用Tomasulo算法, x86也不例外, 主要包括:

Common Data Bus (CDB).

Unified Reservation Station (Scheduler).

该算法虽然是乱序执行, 但是会顺序完成 (retire), 只有在retire后它的输出才会architectually visible (简单地说, 不影响程序逻辑), 但是没有architectually visible不等于没有影响, 当输出更新到reservation station后, 因为cdb的存在, 其他指令已经可以读到. 另外, 非常重要的一点, 异常只有在指令retire的时候才会触发, 对于上面的例子, 即使cpu已经检查到第一条指令没有访问权限, 也只能等到该指令retire时才会触发, 取决于该指令在ROB的位置, 可能马上触发也可能很久之后, ROB容量可以很容易做到比如192这个级别.

这幅图可以对ROB有个大致了解:

旁路攻击

Meltdown/Spectre使用的都是旁路攻击(Side Channel Attack), 这里引用What Is a Side Channel Attack的描述:

Side channel attacks take advantage of patterns in the information exhaust that computers constantly give off: the electric emissions from a computer's monitor or hard drive, for instance, that emanate slightly differently depending on what information is crossing the screen or being read by the drive's magnetic head. Or the fact that computer components draw different amounts of power when carrying out certain processes. Or that a keyboard's click-clacking can reveal a user's password through sound alone.

Meltdown/Spectre利用了旁路攻击的一种常见手段Flush+Reload, CPU访问DRAM和cache的时间有数量级差异, 所以通过衡量时间就可以判断出数据是否在cache里面.

Attacker先通过Flush清空对应的cache line

触发Victim访问该数据

Attacker会访问同一数据并测量访问时间

投机执行

投机执行(Speculative Execution)本质上是乱序执行的一种, 存在条件判断的时候, cpu如果预测该分支为true, 则投机执行里面的语句.

分支预测

Indirect branch

Branch Target Buffer (BTB)

Indirect JMP and CALL instructions consult the indirect branch predictor to direct speculative execution to the most likely target of the branch. The indirect branch predictor is a relatively large hardware structure which cannot be easily managed by the operating system.

Return Stack Buffer (RSB)

Prediction of RET instructions differs from JMP and CALL instructions because RET first relies on the Return Stack Buffer (RSB). In contrast to the indirect branch predictors RSB is a last-in-first-out (LIFO) stack where CALL instructions “push”entries and RET instructions “pop” entries. This mechanism is amenable to predictable software control.

Train BTB

BTB使用虚拟地址, 并且是截断的地址, 不需要和victim完全一样的地址

SMT会共享同一个BTB, 即使不在同一个cpu[线程]上, 也可以train

Gadget

Spectre Attacks: Exploiting Speculative Execution

Return-Oriented Programming (ROP) [63] is a technique that allows an attacker who hijacks control flow to make a victim perform complex operations by chaining together machine code snippets, called gadgets, found in the code of the vulnerable victim. More specifically, the attacker first finds usable gadgets in the victim binary. Each gadget performs some computation before executing a return instruction.

Meltdown and Spectre - Usenix LISA 2018

A“gadget”is a piece of existing code in an (unmodified) existing program binary. For example code contained within the Linux kernel, or in another “victim” application
A malicious actor influences program control flow to cause gadget code to run
Gadget code performs some action of interest to the attacker
For example loading sensitive secrets from privileged memory
The code following the bounds check is known as a “gadget”

Meltdown

攻击方法

先看一个meltdown的示例程序, 普通权限用户通过它能够读出kernel space中0xffffffff81a000e0的内容, 以下是攻击者的代码:

char data = *(char*) 0xffffffff81a000e0; array[data * 4096] = 0;

其中0xffffffff81a000e0是位于kernel space的地址, 选择这个位置是因为它里面是确定的值, 方便验证方法是否有效:

# sudo grep linux_banner /proc/kallsyms ffffffff81a000e0 R linux_banner

按照正常的理解, 第一条语句访问内核地址会触发异常, 所以不能获得data值. Meltdown利用了以下因素:

kernel space和user space在同一地址空间, 即使cpu会执行权限检查

cpu乱序执行. 第一条语句确实[最终]会触发异常, 但是并没有阻止第二条语句的执行. 当然攻击者需要处理该异常信号, 否则代码不能继续执行, 信号处理函数的具体处理逻辑可以见下面提到的例子. 另外也可以使用别的手段, 比如放在投机执行的地方, 投机执行的指令导致的异常会被忽略

第二条语句通过旁路攻击的方法获得data的值. data取值只有256种可能, 通过访问array[]不同偏移的时长确定data的取值. 这里能够同时获取8bit数据, 也可以设计出获取其他长度数据的代码

举个例子

以这个为例:github.com/paboldin/mel, 里面主要逻辑如下:

asm volatile ( "1: " ".rept 300 " "add $0x141, %%rax " ".endr " "movzx (%[addr]), %%eax " "shl $12, %%rax " "jz 1b " "movzx (%[target], %%rax, 1), %%rbx " "stopspeculate: " "nop " : : [target] "r" (target_array), [addr] "r" (addr) : "rax", "rbx" );

执行结果如下:

cached = 31, uncached = 336, threshold 102 read ffffffff8164e080 = 25 % (score=999/1000) read ffffffff8164e081 = 73 s (score=1000/1000) read ffffffff8164e082 = 20 (score=996/1000) read ffffffff8164e083 = 76 v (score=999/1000) read ffffffff8164e084 = 65 e (score=999/1000) read ffffffff8164e085 = 72 r (score=1000/1000) read ffffffff8164e086 = 73 s (score=999/1000) read ffffffff8164e087 = 69 i (score=1000/1000) read ffffffff8164e088 = 6f o (score=1000/1000) read ffffffff8164e089 = 6e n (score=999/1000) read ffffffff8164e08a = 20 (score=1000/1000) read ffffffff8164e08b = 25 % (score=1000/1000) read ffffffff8164e08c = 73 s (score=1000/1000) read ffffffff8164e08d = 20 (score=1000/1000) read ffffffff8164e08e = 29 ( (score=998/1000) read ffffffff8164e08f = 61 % (score=999/1000)

可以看到上面的score都非常高, 说明通过Flush+Reload是很有效的. 代码里面关键的几点:

8-11行是主要代码, 和论文里的例子几乎一样

10行的jz论文里提到: While CPUs generally stall if a value is not available during an out-of-order load operation [28], CPUs might continue with the out-of-order execution by assuming a value for the load.

4-6行. 似乎完全不相干, 即使删掉它们, 运行结果也完全一样!

继续来看4-6行的作用, 首先看到在上面的汇编代码执行之前, 执行了语句:

_mm_mfence();

先把它删掉, 重新执行还是能够读出数据, 但是score很多已经到个位数了, 说明已经不能稳定读出数据了. 更进一步, 把其中rept的指令改成:

mov $0x141, %%rax

此时已经完全不能读出数据了, 即使把mfence加回来也无济于事. 这是因为meltdown要攻击成功, 需要时间窗口, 越权访问那条指令必须在第二条指令加载数据到cache之后(or in flight?) retire, 否则触发异常从而会中断乱序执行. 从测试可以知道:

mfence能很好地起到阻塞后面异常指令retire, 因为它很慢, 而且cpu是顺序retire的

rept中add $0x141, %%rax一定程度也能起到阻塞的作用, 但是没有mfence稳定. 注意这条add指令会同时读写rax寄存器, 导致这300条指令前后形成read-after-write的依赖关系, 这样在执行的时候就会形成依赖关系, 从而导致ROB上指令的积压, 而mov $0x141 %%rax因为register renaming的原因并不会形成真实的依赖关系. (ROB的容量和入队速率, ALU执行单元个数, Reservation State的容量, 这些可以进行更细致的分析)

防御方法

Kernel Page Table Isolation (KPTI) 中user space对应的页表已经没有kernel space的内容, 这样就不能访问到kernel的数据了, 不管有没有乱序执行.

Whereas current systems have a single set of page tables for each process, KAISER implements two. One set is essentially unchanged; it includes both kernel-space and user-space addresses, but it is only used when the system is running in kernel mode. The second "shadow" page table contains a copy of all of the user-space mappings, but leaves out the kernel side. Instead, there is a minimal set of kernel-space mappings that provides the information needed to handle system calls and interrupts, but no more. Copying the page tables may sound inefficient, but the copying only happens at the top level of the page-table hierarchy, so the bulk of that data is shared between the two copies.

Whenever a process is running in user mode, the shadow page tables will be active. The bulk of the kernel's address space will thus be completely hidden from the process, defeating the known hardware-based attacks. Whenever the system needs to switch to kernel mode, in response to a system call, an exception, or an interrupt, for example, a switch to the other page tables will be made. The code that manages the return to user space must then make the shadow page tables active again.

Spectre V1

攻击方法

以下代码中即使if条件为false, cpu仍然可能先投机执行第二条语句, 从而访问到不应该访问的数据array1[x], 其中x >= array1_size, 所以这种攻击也称为Bounds Check Bypass.

if (x < array1_size) y = array2[array1[x] * 4096];

上面是victim的代码, 为了完成攻击:

attacker需要在victim中找到该段代码, 毫无疑问

attacker需要能够控制变量x

attacker需要能够访问array2, 否则没有side channel

array2不在cache, 这是旁路攻击使用Flush+Reload的前提

array1_size不在cache, 这样条件指令所需时间更长, 有利于投机执行; array1[x]在cache, 这样array2[array1[x] * 4096]才能尽早发出

一般来说要同时满足条件1,2,3并不容易, 但是eBPF可以比较容易构造, 毕竟可以自己写eBPF脚本.

防御方法

防御的思路是: 即使投机执行了错误路径也不会泄露信息, 这种方式比较简单:

index < size. 正确性没有影响

index >= size. array_index_nospec返回值范围在[0, size), 所以不会有越界访问

/* * array_index_nospec - sanitize an array index after a bounds check * * For a code sequence like: * * if (index < size) { * index = array_index_nospec(index, size); * val = array[index]; * } * * ...if the CPU speculates past the bounds check then * array_index_nospec() will clamp the index within the range of [0, * size). */ #define array_index_nospec(index, size) ({ typeof(index) _i = (index); typeof(size) _s = (size); unsigned long _mask = array_index_mask_nospec(_i, _s); BUILD_BUG_ON(sizeof(_i) > sizeof(long)); BUILD_BUG_ON(sizeof(_s) > sizeof(long)); (typeof(_i)) (_i & _mask); })

Spectre V2

v1通过bypass bounds check, 可以在选择2条不同的执行路径, 而v2通过训练indirect branch, 理论上可以引诱cpu[错误路径]去执行任意gadget.

防御方法

Retpoline通过把jmp/call指令转换为ret解决分支预测的问题, 也即把分支预测由BTB转移到了RSB, 注意软件可以很方便地控制RSB (underflow问题这里不讨论).

这里一jmp指令的indirect branch为例:

关键点在于ret导致的分支预测采用了RSB的内容, 而该内容是在call的时候产生的, 也就是上面的语句2. 所以即使针对ret的分支预测错了, 语句2并不会泄漏任何信息, 最后ret语句读到(%rsp)的内容, 该值和RSB里的值不符, 投机执行结束, 它没产生任何正向效果, 但是也没有任何负面效果.

引用

Meltdown: Reading Kernel Memory from User Space

Spectre Attacks: Exploiting Speculative Execution

Meltdown and Spectre - Usenix LISA 2018

Retpoline: A Branch Target Injection Mitigation

Hacker Lexicon: What Is a Side Channel Attack?

KAISER: hiding the kernel from user space

本文作者：J.FW

原文标题：迟到的Meltdown/Spectre分析

文章出处：【微信公众号：Linuxer】欢迎添加关注！文章转载请注明出处。

责任编辑：haq

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

cpu

cpu

+关注

关注
68

文章
10854

浏览量
211587
数据

数据

+关注

关注
8

文章
7002

浏览量
88943
SpecTree

SpecTree

+关注

关注
0

文章
2

浏览量
5049

原文标题：迟到的Meltdown/Spectre分析

文章出处：【微信号：LinuxDev，微信公众号：Linux阅码场】欢迎添加关注！文章转载请注明出处。

频谱分析仪与信号分析仪的区别

在现代电子通信领域，频谱分析仪和信号分析仪是两种不可或缺的测试工具。它们都用于测量和分析信号的特性，但它们的功能、应用和工作原理存在显著差异。一、定义与基本原理频谱分析仪是一种用

发表于 11-27 15:26 •440次阅读

贴片电容MLCC失效分析----案例分析

发表于 10-25 15:42 •388次阅读

贴片电容MLCC失效<b class='flag-5'>分析</b>----案例<b class='flag-5'>分析</b>

Keysight 频谱分析仪（信号分析仪）

Keysight频谱分析仪（信号分析仪）足够的性能和卓越的可靠性，帮助您更轻松、更快速地应对常见的射频-微波测试测量挑战。可靠的频谱分析仪和信号分析仪提供准确可信的测量结果无论您是要在

发表于 09-12 08:10 •466次阅读

Keysight 频谱<b class='flag-5'>分析</b>仪（信号<b class='flag-5'>分析</b>仪）

tina仿真的噪声分析，可以分析电流噪声吗？

tina仿真的噪声分析，可以分析电流噪声吗

发表于 08-06 08:23

电路的瞬态分析和暂态分析区别

在电子电路分析中，瞬态分析和暂态分析是两种重要的分析方法。它们分别用于研究电路在不同时间尺度上的行为。瞬态分析瞬态

发表于 07-26 09:30 •1610次阅读

数据分析有哪些分析方法

数据分析是一种重要的技能，它可以帮助我们从大量的数据中提取有价值的信息，从而做出更明智的决策。在这篇文章中，我们将介绍数据分析的各种方法，包括描述性分析、诊断性分析、预测性

发表于 07-05 14:51 •568次阅读

离子束抛光在微电子封装失效分析领域的应用

共读好书王刚冯丽婷李潮黎恩良郑林挺胡宏伟刘家儒夏姗姗武慧薇（工业和信息化部电子第五研究所）摘要：首先，以具体微电子封装失效机理和失效模式研究的应用为落脚点，较为全面地介绍了

发表于 07-04 17:24 •381次阅读

离子束抛光在微电子封装失效<b class='flag-5'>分析</b>领域的应用

尽管都是“原地雕花”的迟到AI，苹果还是让“手机上的AI”往前走了一大步

对AI的重视程度。这是继今年初苹果秘密放弃造车之后，首次在大型活动上公开拥抱AI。尽管姗姗来迟，尽管还是期货，在AI功能落地上，苹果依旧显现出了不同于别家的思考路径，

发表于 06-14 08:05 •314次阅读

信号分析设备可分析的频率低于磁带频率吗

本文主要介绍了信号分析设备的基本原理、类型和应用。特别关注了信号分析设备在分析低于磁带频率的信号时的性能和限制。引言信号分析设备在通信、电子、电气工程等领域具有广泛的应用。它们可以

发表于 06-03 10:52 •412次阅读

信号分析的基本思想是什么

信号分析是一种研究信号特性、提取有用信息的方法。它在通信、电子、控制、生物医学等领域具有广泛的应用。本文将详细介绍信号分析的基本思想、方法和应用。一、信号分析的基本思想信号分析的基

发表于 06-03 10:28 •742次阅读

信号分析的方法有哪些种类

信号分析是研究信号特性、提取信号信息和处理信号的一种技术。信号分析方法有很多种，本文将详细介绍一些常见的信号分析方法。时域分析时域分析是

发表于 06-03 10:25 •1119次阅读

信号分析仪与频谱分析仪的区别

在电子工程、通信、无线电以及生物医学等多个领域中，信号分析仪和频谱分析仪都是至关重要的测量和分析工具。虽然两者在功能和应用上有一定的重叠，但它们在设计和应用上存在着显著的差异。本文将对信号分析

发表于 05-17 14:21 •2102次阅读

英特尔CPU遭遇"Pathfinder"漏洞攻击，用户端JPEG图像库可窃取机密信息

据了解，Pathfinder技术利用了现代CPU的分支预测机制，通过操控分支预测器的关键部分，实现对程序控制流历史记录的重构，并发动高精度的Spectre攻击。

发表于 05-11 14:46 •421次阅读

ADS调用spectre网表仿真异常—薛定谔的NetlistInclude

ADS是支持调用spice/spectre等网表文件进行仿真的，可以用NetlistInclude控件来进行调用。

发表于 03-07 09:57 •2333次阅读

智驾怒砸1000亿元！中国第一车企加码激光雷达，国产传感器再迎爆发！

，作为中国汽车扛把子，比亚迪智驾似乎姗姗来迟。比亚迪整车智能化架构被命名为“璇玑”，由“中央大脑”、车端AI和云端AI，车联网、5G网、卫星网，及传感链、控制链、数据链、机械链组成。并展示了盖整车智能、智能驾驶、智能泊车、智

发表于 02-20 13:56 •418次阅读

搜索历史

姗姗来迟的Meltdown/Spectre分析

评论

频谱分析仪与信号分析仪的区别

贴片电容MLCC失效分析----案例分析

Keysight 频谱分析仪（信号分析仪）

tina仿真的噪声分析，可以分析电流噪声吗？

电路的瞬态分析和暂态分析区别

数据分析有哪些分析方法

离子束抛光在微电子封装失效分析领域的应用

尽管都是“原地雕花”的迟到AI，苹果还是让“手机上的AI”往前走了一大步

信号分析设备可分析的频率低于磁带频率吗

信号分析的基本思想是什么

信号分析的方法有哪些种类

信号分析仪与频谱分析仪的区别

英特尔CPU遭遇"Pathfinder"漏洞攻击，用户端JPEG图像库可窃取机密信息

ADS调用spectre网表仿真异常—薛定谔的NetlistInclude

智驾怒砸1000亿元！中国第一车企加码激光雷达，国产传感器再迎爆发！