Los investigadores han encontrado dos tipos novedosos de ataques dirigidos al predictor de rama condicional que se encuentra en los procesadores Intel de gama alta, que podrían explotarse para comprometer miles de millones de procesadores actualmente en uso.
El equipo de investigación multiuniversitario e industrial dirigido por informáticos de la Universidad de California en San Diego presentará su trabajo en la Conferencia ACM ASPLOS 2024 que comienza mañana. El artículo, «Pathfinder: ataques de flujo de control de alta resolución que explotan el predictor de rama condicional», se basa en hallazgos de científicos de UC San Diego, la Universidad Purdue, Georgia Tech, la Universidad de Carolina del Norte Chapel Hill y Google.
Descubren un ataque único que es el primero en apuntar a una característica en el predictor de sucursales llamado Registro de Historial de Ruta, que rastrea tanto el orden de las sucursales como las direcciones de las sucursales. Como resultado, se expone más información con más precisión que con ataques anteriores que carecían de información sobre la estructura exacta del predictor de rama.
Su investigación ha dado como resultado que Intel y Advanced Micro Devices (AMD) aborden las inquietudes planteadas por los investigadores y asesoren a los usuarios sobre los problemas de seguridad. Hoy, Intel publicará un anuncio de seguridad, mientras que AMD publicará un boletín de seguridad.
En el software, se producen bifurcaciones frecuentes cuando los programas navegan por diferentes caminos en función de valores de datos variables. La dirección de estas ramas, ya sea «tomadas» o «no tomadas», proporciona información crucial sobre los datos del programa ejecutado. Dado el impacto significativo de las ramas en el rendimiento de los procesadores modernos, se emplea una optimización crucial conocida como «predictor de ramas». Este predictor anticipa los resultados futuros de las sucursales haciendo referencia a historias pasadas almacenadas en tablas de predicción. Ataques anteriores han explotado este mecanismo analizando las entradas de estas tablas para discernir tendencias recientes de sucursales en direcciones específicas.
En este nuevo estudio, los investigadores aprovechan la utilización de un registro de historial de ruta (PHR) por parte de los predictores modernos para indexar tablas de predicción. El PHR registra las direcciones y el orden preciso de las últimas 194 sucursales tomadas en arquitecturas Intel recientes. Con técnicas innovadoras para capturar el PHR, los investigadores demuestran la capacidad de capturar no solo los resultados más recientes sino también los resultados de cada rama en orden secuencial. Sorprendentemente, descubren el orden global de todas las ramas. A pesar de que el PHR normalmente conserva las 194 ramas más recientes, los investigadores presentan una técnica avanzada para recuperar una historia significativamente más larga.
«Capturamos con éxito secuencias de decenas de miles de ramas en orden preciso, utilizando este método para filtrar imágenes secretas durante el procesamiento mediante la biblioteca de imágenes ampliamente utilizada, libjpeg», dijo Hosein Yavarzadeh, estudiante de doctorado del Departamento de Ingeniería y Ciencias de la Computación de UC San Diego y autor principal del artículo.
Los investigadores también introducen un ataque de envenenamiento estilo Spectre excepcionalmente preciso, que permite a los atacantes inducir patrones intrincados de predicciones erróneas de rama dentro del código de la víctima. «Esta manipulación lleva a la víctima a ejecutar rutas de código no deseadas, exponiendo inadvertidamente sus datos confidenciales», dijo Dean Tullsen, profesor de informática de UC San Diego.
«Si bien los ataques anteriores podían desviar una sola rama o la primera instancia de una rama ejecutada varias veces, ahora tenemos un control tan preciso que podríamos desviar la instancia 732 de una rama ejecutada miles de veces», dijo Tullsen.
El equipo presenta una prueba de concepto en la que obligan a un algoritmo de cifrado a salir antes de forma transitoria, lo que da como resultado la exposición de un texto cifrado de ronda reducida. A través de esta demostración, ilustran la capacidad de extraer la clave secreta de cifrado AES.
«Pathfinder puede revelar el resultado de casi cualquier rama en casi cualquier programa víctima, lo que lo convierte en el ataque de extracción de flujo de control de microarquitectura más preciso y poderoso que hemos visto hasta ahora», dijo Kazem Taram, profesor asistente de ciencias de la computación en la Universidad Purdue. y un doctorado en informática de UC San Diego.
Además de Dean Tullsen y Hosein Yavarzadeh, lo son otros coautores de UC San Diego. Archit Agarwal y Deian Stefan. Otros coautores incluyen a Christina Garman y Kazem Taram, de la Universidad Purdue; Daniel Moghimi, Google; Daniel Genkin, Tecnología de Georgia; Max Christman y Andrew Kwong, Universidad de Carolina del Norte Chapel Hill.
Este trabajo fue parcialmente apoyado por la Oficina de Investigación Científica de la Fuerza Aérea (FA9550-20-1-0425); la Agencia de Proyectos de Investigación Avanzada de Defensa (W912CG-23-C-0022 y HR00112390029); la Fundación Nacional de Ciencias (CNS-2155235, CNS-1954712 y CAREER CNS-2048262); la beca de investigación Alfred P. Sloan; y obsequios de Intel, Qualcomm y Cisco.
