cve-2017-5753           边界检查绕过                     Spectre(幽灵)
cve-2018-3693          边界检查绕过
cve-2017-5715          分支目标注入                      Spectre(幽灵)
cve-2017-5754          未授权数据缓存加载          Meltdown(熔断)
cve-2018-3640          恶意系统注册读取
cve-2018-3639          推理存储绕过

         Meltdown漏洞,低权限用户可以访问内核的内容,获取本地操作系统的信息。Meltdown漏洞影响几乎所有的Intel CPU和部分ARM CPU.
         Spectre则影响所有的Intel CPU和AMD CPU,以及主流的ARM CPU。当用户通过浏览器访问了包含Spectre恶意利用程序的网站时,用户的如账号,密码,邮箱等个人隐秘信息可能会泄漏;在云服务场景中,利用Spectre可以突破用户间的隔离,窃取其他用户的数据。

         现代CPU为了提高处理性能,会采用乱序执行(Out-of-Order-Execution)和预测执行(SpeculativePrediction)。乱序执行是指CPU并不是严格按照指令的顺序串行执行,而是根据相关当前掌握的信息预测某个条件判断的结果,然后选择对应的分支提前执行。乱序执行和预测执行在遇到异常或预测执行前的正确状态,然后选择对应正确的指令继续执行,这种异常处理基址保证了程序能够正确的执行。CPU恢复状态时并不会恢复CPU缓存的内容,而这两组漏洞正式利用了这一设计上的缺陷进行测信道攻击

arm soc 硬件架构_安全

乱序执行的每个阶段:
         1.获取指令,解码后存放到执行缓冲区Reservations Stations
         2.乱序执行指令,结果保存在一个结果序列中
         3.退休期Retired Circle,重新排列结果序列及安全检查(如地址访问的权限检查),提交结果到寄存器

//rcx = kernel address
//rbx = probe array
1.mov al,byte[rcx]
2.shl rax,0xc
3.mov rbx,qword[rbx+rax]
Meltdown漏洞的利用过程有4个步骤:
         1.指令获取解码
         2.乱序执行3条指令,指令2和指令3要等指令1中的读取内存地址的内容完成后才开始执行,指令3会将要访问的rbx数组元素所在的页加载到CPU Cache中
         3.对2的结果进行重新排列,对1-3条指令进行安全检测,发现访问违例,会丢弃当前执行的所有结果,恢复CPU状态到乱序执行之前的状态,但并不会恢复CPU Cache的状态
         4.通过缓存测信道攻击,可以知道哪一个数组元素被访问,也即对应的内存页存放在CPU Cache中,从而推测出内核地址的内容

Spectre的原理是,当CPU发现分支预测错误时会丢弃分支执行的结果,恢复CPU的状态,但是不会恢复CPU Cache的状态,利用这一点可以突破进程间的访问限制(如浏览器沙箱)获取其他进程的数据。

if(x < array1_size){
 y = array2[array1[x]*256];
 //do something using Y that is observable when speculatively executed
 }


具体攻击过程分为三个阶段:
         1.训练CPU的分支预测单元使其运行代码时会进行特定的预测执行
         2.预测执行使得CPU将要访问的地址的内容读取到CPU Cache中
         3.通过缓存测信攻击,可以知道哪一个数组元素被访问过,也即对应的内存页存放在CPU Cache中,从而推测出地址的内容

漏洞验证Poc
         https://github.com/Eugnis/spectre-attack          https://github.com/feruxmax/meltdown
         https://github.com/gkaindl/meltdown-poc
         https://github.com/turbo/KPTI-PoC-Collection

参考:
https://software.intel.com/content/dam/develop/external/us/en/documents/retpoline-a-branch-target-injection-mitigation.pdf