“ÆPIC Leak”漏洞来袭!支援 SGX 安全功能的英特尔 CPU 会泄密
作者 Evan | 发布日期 2022 年 08 月 12 日 8:30
罗马第一大学(Sapienza University of Rome)、奥地利格拉兹科技大学(Graz University of Technology)、亚马逊 AWS 及 CISPA 亥姆霍兹资讯安全中心(Helmholtz Center for Information Security)资料学家组成的团队,在英特尔新 CPU 发现架构性错误,有可能被利用泄露 Intel SGX(Software Guard Extensions)硬件式内存加密功能安全区(Enclave)资料,如加密私钥。
这架构性错误会对本地端高阶可程式中断控制器(Advanced Programmable Interrupt Controller,APIC)的内存对映暂存器造成影响,所以团队称之为“ÆPIC Leak”漏洞。至于 APIC 控制器扮演协助 CPU 处理不同来源中断请求,以促进多重处理(Multiprocessing)作业的角色。
史上第一个架构性 CPU 缺陷
团队〈ÆPIC Leak:从微架构上架构性外泄未初始化资料〉(Architecturally Leaking Uninitialized Data from the Microarchitecture)论文指出,发现名为 ÆPIC Leak 的第一个架构性 CPU 错误,不需透过旁路就能直接从微架构泄漏过时资料。
论文指出,凡是基于英特尔 Sunny Cove 微架构的英特尔新 CPU 都受漏洞影响,包括第十代 Ice Lake CPU 及第三代 Xeon 可扩充服务器 CPU,甚至连基于 Golden Cove 微架构的新款第 12 代 Alder Lake CPU 也不例外。
但英特尔反驳,Alder Lake 不会受影响,因根本不支援 SGX。英特尔另举出论文没提到的受影响 CPU 还有 Ice Lake Xeon-SP、Ice Lake D、Gemini Lake、Ice Lake U/Y 及 Rocket Lake。
漏洞只影响使用 SGX 功能的系统,虚拟化及大部分系统不受影响
ÆPIC Leak 并非属于过去知名 CPU 漏洞 Meltdown 那样依靠旁路推导敏感资料的暂态执行攻击(Transient Execution Attack),相反的是早期 Pentium FDIV 错误或 Pentium F00F 错误之类芯片架构缺陷影响的结果。
论文作者群将错误比做 CPU 本身未初始化的内存读取动作。他们扫描基于 Sunny Cove 微架构英特尔 CPU 的 I/O 输入输出位址空间,发现本地 APIC 控制器的内存对映暂存器并未初始化。因此,读取这些暂存器将返回最近内存从 L2 到 L3 快取加载和储存的过时资料。
所幸存取 APIC MIMO 多进多出需要管理员权限或根权限才行,所以对大部分系统而言,ÆPIC Leak 并不构成问题。尤其虚拟环境,Hypervisor 虚拟化管理程式绝不会公开直接存取主机本地 APIC。如此恶意虚拟机器就无法利用漏洞外泄资料。
但使用英特尔 SGX 功能的系统就无法避免 ÆPIC Leak 漏洞的可能风险。研究人员设计 Cache Line Freezing 及 Enclave Shaking 两个技术,用来从英特尔 IPP(Integrated Performance Primitives)函式库取得 AES-NI 密钥与 RSA 密钥,另外也能提取英特尔 SGX 密封和远端认证密钥。研究人员已将概念验证程式码上传至 GitHub。
英特尔发布 INTEL-SA-00657 安全公告,并提供修订版 SDK 套件继续鼓吹 SGX
ÆPIC Leak 漏洞最早 2021 年 12 月 8 日通报英特尔,并在 2021 年 12 月 22 日官方承认,指派漏洞编号为 CVE-2022-21233。研究人员建议,可透过禁用 APIC MIMO 或避免使用 SGX 功能短期缓解。虽然建议硬件处理不适当初始化,但认为微码(Microcode)/韧体更新也有作用。英特尔 9 日发布 27 项安全公告以解决 59 个安全漏洞问题,INTEL-SA-00657 即为解决 ÆPIC Leak 漏洞的安全公告,使用者可了解漏洞缓解法。
英特尔建议,作业系统和虚拟机器监视器(VMM)启用 x2APIC 模式,将禁用 xAPIC MIMO 页面,而不是透过特定模型暂存器(MSR)公开 APIC 暂存器,如此便能缓解受影响产品的 ÆPIC Leak 漏洞。
虽然多年由 SGX 引发的 CPU 漏洞问题不断,但英特尔仍不断大力推荐自家 SGX 技术,并尝试提供适用 Windows 及 Linux 系统的修订版 SGX SDK 软件开发套件,以协助降低 SGX 安全区资料被骇客推导的机会。
https://technews.tw/2022/08/12/intel-sunny-cove-chips-with-sgx-spill-secrets/
Intel有ÆPIC Leak,AMD有SQUIP。都几?