一种名为Plundervolt的新攻击使攻击者可以访问存储在处理器安全飞地中的敏感数据。
小偷企图窃取用传感器和警报器严加保护的财物时,有时会采取断电的手段,对那些昂贵的安保系统切断供电。事实证明,黑客可以采取类似的手法:对英特尔芯片的电源做手脚,以此破坏芯片的安全机制,进而揭露芯片最敏感的秘密信息。
两个研究团队近日发现了一种新的技术,让黑客可以对英特尔芯片的电压做手脚,从而诱使芯片泄露使用英特尔的安全保护扩展(SGX)功能存储的信息,一个团队包括英国伯明翰大学、维也纳格拉茨理工大学和比利时鲁汶大学的研究人员,另一个团队包括德国达姆施塔特理工大学和加利福尼亚大学的研究人员。设备存储器中的那些“安全飞地”(secure enclave)被设计成固若金汤、牢不可破。英特尔要求两个团队在过去六个月内切勿公布这一发现结果,它证实了这一发现,近日发布了针对芯片固件的更新版,以防止攻击。
这种技术被其中一个研究团队称为“Plundervolt”,需要在目标计算机上植入恶意软件,软件可以暂时降低通向英特尔芯片的电流。这种电压下降名为“欠压”,通常让正当用户在不需要最大性能时可以节省功耗。(同样,你可以使用电压变化功能对处理器进行“超频处理”以完成更繁重的任务。)但是通过暂时使处理器电压欠压25%或30%,并精确控制这个电压变化的时间,攻击者就可以诱使芯片在使用秘密数据的计算过程中出错。而那些错误可以泄露像存储在SGX飞地中的加密密钥或生物特征识别数据这些敏感的信息。
伯明翰大学的计算机科学家Flavio Garcia说:“写入到存储器需要耗电。”他和同事将于明年在IEEE安全和隐私大会上介绍Plundervolt研究成果。“因此,你可以暂时降低CPU电压以引发计算错误。”
一旦研究人员发现他们可以利用电压变化来引发那些故障(所谓的故障注入或“位翻转”,即在SGX飞地中将1变成0或将0变成1),他们表明因此也可以大做文章。Garcia说:“比如说,如果你在执行密码计算时翻转位,就可以找回秘密密钥。”研究人员解释,在许多情况下,更改加密密钥的单单一位就会使密钥的安全性大大降低,因此攻击者既可以解密密钥加密的数据,又可以破解密钥本身。你可以在此处观看对AES加密密钥的影响:
研究人员还表明,他们可以使用那些位翻转使处理器写入到存储器中未保护的部分,而不是写入到安全的SGX飞地:
研究人员承认,他们的攻击并非很容易得逞。想确保攻击得逞,攻击者必须已经以某种方式在目标计算机上以高级(即“root”)权限植入了恶意软件。但英特尔宣传其SGX功能可以防止敏感数据被破坏或窃取,哪怕面对这种拥有高级权限的恶意软件。研究人员表示,他们已证明这种保证存在严重的例外情况。伯明翰大学的研究人员之一Kit Murdock说:“英特尔表示,安全飞地甚至可以保护计算,不受来自同一系统上拥有root权限的人员的保护。但即使在理应是安全飞地的环境里面,我们照样能翻转位。”在伯明翰大学、格拉茨理工大学和鲁汶大学的研究人员开展研究工作之前,北京清华大学和马里兰大学的一群研究人员已有类似的发现,本月初他们在计算机协会(ACM)大会上介绍了一种类似的技术。清华大学和马里兰大学的研究人员将这种技术称为VoltJockey,利用电压变化来破坏处理器的安全性,其方式与Plundervolt几乎如出一辙,不过针对的是ARM芯片而不是英特尔芯片。Plundervolt并不是表明英特尔的SGX功能头一次被攻陷。其他早期的攻击在一些情况下也会破坏英特尔SGX飞地的机密性,比如Spectre和Foreshadow,这两种攻击都钻了英特尔芯片的推测执行功能的空子,后来这家芯片制造商发布了固件补丁以防止遭到攻击。今年早些时候,格拉茨理工大学的研究人员甚至表明,他们可以使用一种名为“面向返回的编程”的技术,在SGX飞地内植入自己的恶意软件,从而使防病毒软件看不到该恶意软件。Plundervolt研究人员在6月份联系英特尔告知了他们的发现结果,英特尔今天在一份安全公告中写道,来自达姆施塔特理工大学和加利福尼亚大学的第三个研究团队也大概在同一时间向该公司报告了这种欠压攻击技术。英特尔表示,两个月后VoltJockey团队也提醒该公司注意这个问题,尽管它们在大会上的演讲针对ARM芯片。作为回应,英特尔今天推出了芯片固件的更新版,默认情况下可以锁定处理器的电压设置,因而阻止欠压攻击。英特尔在今天发表的一篇博文称:“英特尔已经与系统供应商合作,开发一种微代码更新版,通过将电压锁定在默认设置来缓解该问题。我们没听说这种漏洞在外头被人实际滥用,但与往常一样,我们还是建议尽快安装安全更新版。”英特尔拒绝详细透露该补丁对超频用户会有怎样的影响。但为了防止恶意攻击利用同样那些电压开关诱使你的处理器泄露机密,锁定那些电源设置可能是必要的措施。
