Meltweb : um ataque de execução transitória para captura de dados em buffers de preenchimento de linhas

Abstract

Resumo: Com os avanços da tecnologia torna-se cada vez mais necessário a implementação de sistemas seguros que garantam a integridade e a privacidade dos dados dos usuários. Para um sistema ter tal nível de segurança são necessários testes de invasão capazes de detectar as vulnerabilidades existentes, para que estas sejam prevenidas frente a ataques reais. Os ataques de execução transitória visam explorar brechas deixadas durante o de senvolvimento de componentes do hardware, tornando-se uma das principais abordagens de ataques utilizadas para invasão a servidores e internet das coisas, visto a dificuldade de detecção e prevenção dos mesmos. Uma dessas brechas pode ser encontrada na execução fora de ordem presente nos processadores modernos. Pois esta técnica abre espaço para a vulnerabilidade conhecida como meltdown que está presente em todos os processadores produzidos pela Intel nos últimos 10 anos. Apesar das correções de software aplicadas para minimizar os danos, ainda é possível explorá-la e comprometer dados confidenciais de usuários. Tendo em vista este contexto, esta dissertação de mestrado propõe um novo ataque meltdown, chamado Meltweb. Este é uma nova abordagem da categoria de ataques de execução especulativa sem privilégios para vazar dados arbitrários em espaços de endereços e limites de privilégios. O desenvolvimento da pesquisa demonstra que tal vulnerabilidade se origina de uma variedade de micro-otimizações presentes em processadores Intel, que fazem com que a UCP atenda cargas de maneira especulativa usando dados em transição. O Meltweb é implementado a partir de execução linear sem a necessidade de falhas de página, eliminando a necessidade de um mecanismo de supressão de exceção, assim permitindo que o ataque seja executado em todo o sistema de código arbitrário sem privilégios como em motores de interpretação de Javascript. Para exemplificar a realização do ataque são desenvolvidas duas variantes de prova de conceito, que demonstram a capacidade da realização do ataque de forma nativa como também remota utilizando Javascript. O ataque desenvolvido apresenta resultados satisfatórios em suas duas variantes, sendo 98% de acurácia na captura de dados confidenciais na variante nativa. Para a variante remota o ataque 'e capaz de realizar a captura de dados de navegação como recuperação de URLs com uma taxa de erro de 2.3%.

Abstrat: With advances in technology, it becomes increasingly necessary to implement secure systems that guarantee the integrity and privacy of users' data. For a system to have such a level of security, invasion tests are necessary to detect existing vulnerabilities, so that they are prevented in the face of real attacks. transient execution attacks aim to exploit loopholes left during the development of hardware equipment. Becoming one of the main attack approaches used when it comes to attacks on servers and IOTs, given the difficulty in detecting and preventing them. One of these loopholes can be found in the out-of-order execution present in modern processors. This mechanism makes room for the vulnerability known as meltdown that has been present in all processors produced by Intel in the past 10 years. Despite the software fixes applied to minimize the damage, it is still possible to exploit it and compromise users' confidential data. In view of this context, this master's thesis propose a new meltdown attack. Meltweb is a new approach in the category of privileged speculative execution attacks to leak arbitrary data into address spaces and privilege limits. The development of the research demonstrates that such vulnerability stems from a variety of micro-optimizations present in Intel processors, which cause the CPU to handle loads speculatively using data in transition. Meltweb can be implemented from linear execution without the need for invalid page faults, eliminating the need for an exception suppression mechanism, thus allowing the attack to be executed throughout the system of arbitrary code without privileges as in search engines interpretation of Javascript. To exemplify the performance of the attack, two proof-of-concept variants were developed that demonstrate the ability to perform the attack natively, as well as remotely using Javascript. The attack developed showed satisfactory results in its two variants, with 98% accuracy in capturing confidential data in the native variant. For the remote variant, the attack proved to be capable of capturing navigation data as a URL recovery with an error rate of 2.3%.