インテルは火曜日、最近の Core マイクロプロセッサの Software Guard Extensions (SGX) に存在する脆弱性を修正するマイクロコード ファームウェア アップデートを含む 11 件のセキュリティ アドバイザリを公開する予定である。この脆弱性により、特権を持つ攻撃者が SGX エンクレーブ計算を破壊することが可能になる。
SGXの脆弱性は、それを発見したコンピューター科学者たち、英国バーミンガム大学のキット・マードック氏、デビッド・オズワルド氏、フラビオ・ガルシア氏、オーストリアグラーツ工科大学のダニエル・グルース氏、ベルギーのルーヴェン・カトリック大学のジョー・ヴァン・バック氏とフランク・ピエセンス氏によって「プランダーボルト」と名付けられている。
研究論文 [PDF]「Plundervolt: Intel SGX に対するソフトウェアベースのフォールト インジェクション攻撃」の中で、研究者たちは「特権動的電圧スケーリング インターフェースを悪用して、エンクレーブ計算を確実に破壊する」ことができた方法を説明しています。
彼らは、チップ電圧を操作するための文書化されていないインターフェースを使用して、RSA-CRT および AES-NI 暗号ライブラリに基づく暗号キーを復元し、境界外配列アクセスやヒープ破損などのメモリ安全性エラーを作成できることを実証しました。
彼らの手法を実行するには、オペレーティングシステムとBIOSへの特権アクセスが必要ですが、IntelのSGXは、クラウドサービスプロバイダーの不正な従業員など、悪意のある管理者からアプリケーションとデータを保護することになっています。この手法は、標的マシンへの物理的なアクセスを必要とせず、ログインしたリモートの攻撃者によって実行される可能性もあります。
Skylake以降のIntelチップは、メイン回路基板上の別のチップに電圧レギュレータを搭載しています。研究者たちは、 Linuxカーネルモジュール0x150を用いて隠蔽されたモデル固有レジスタ(MSR)に書き込むことで、供給電圧を下げることができることを発見しましたmsr。過渡電圧を十分に、しかし過度ではない程度に下げることで、プロセッサは特定の命令に対して誤った結果を生成する可能性があります。
これらの攻撃は、メモリ内のビットを反転させるRowhammerと類似点があります。Plundervoltは、メモリに書き込まれる前にCPU内のビットを反転させることで、SGXのメモリ保護対策を回避します。また、CLKScrewやVoltJockeyとも類似点があります。これらはそれぞれARMプロセッサとARM Trustzoneを電力管理操作によって標的とします。
その名の通り、インテルCPUの欠陥ZombieLoadが新たな亜種とともに復活した。
続きを読む
研究者らは2019年6月7日にインテルに調査結果を通知した。インテルは勧告の中で、これらのSGX研究者と、8月に独立して電圧の脆弱性を特定したと思われるダルムシュタット工科大学とカリフォルニア大学、メリーランド大学と清華大学の2組のコンピューター科学者に感謝の意を表した。
インテルはこの脆弱性を認め、CVE-2019-11157とインテルセキュリティアドバイザリINTEL-SA-00289を割り当てました。同社はこの問題に対処するため、「オーバークロック時のメールボックスインターフェース設定を無効にするBIOSパッチ」と「SGX TCB(Trusted Computing Base)認証の一環としてメールボックスの有効化ステータスを反映するマイクロコードアップデート」をリリースする予定であると技術者に伝えました。
Chipzilla は、Intel Core プロセッサ (第 6 世代から第 10 世代)、Xeon E3 v5 および v6、Xeon E-2100 および E-2200 ファミリが影響を受けるため、更新する必要があることを推奨しています。
SGXは、先週発表された研究論文で説明されている「Membuster」と呼ばれる攻撃に対しても脆弱です。Intelは、Membusterを脅威モデルの範囲外と見なしています。®
