Indirector: ¿qué se esconde detrás de la nueva vulnerabilidad de los procesadores Intel?

Los procesadores modernos de Intel, incluidos los de las generaciones Raptor Lake y Alder Lake, resultaron vulnerables a un nuevo ataque de alta precisión tipo Branch Target Injection (BTI), llamado «Indirector». Este ataque puede utilizarse para robar información confidencial del procesador.

El ataque fue descubierto por investigadores de la Universidad de California en San Diego. Los detalles completos se presentarán en el próximo simposio USENIX Security Symposium en agosto de 2024.

Indirector explota vulnerabilidades en dos componentes de hardware de los procesadores modernos de Intel: el Indirect Branch Predictor (IBP) y el Branch Target Buffer (BTB). Estos componentes están diseñados para predecir las direcciones objetivas de los saltos indirectos y directos, utilizando información histórica sobre la ejecución de comandos.

Los investigadores descubrieron que los sistemas IBP y BTB tienen deficiencias en los mecanismos de indexación, etiquetado y uso compartido de registros, lo que permite manipular estas estructuras de manera específica.

El ataque Indirector utiliza tres mecanismos principales:

• iBranch Locator: una herramienta especial que utiliza métodos de expulsión para determinar los índices y etiquetas de las ramas vulnerables y la identificación precisa de los registros IBP para ramas específicas.
• Inyecciones IBP/BTB: inyecciones dirigidas en las estructuras predictivas para ejecutar código especulativo.
• Evasión de ASLR: determinación de las ubicaciones exactas de las ramas indirectas y sus objetivos, lo que facilita la predicción y manipulación del flujo de control de los procesos protegidos.

Utilizando estos mecanismos, un atacante puede emplear métodos de caché por canal lateral, como la medición del tiempo de acceso, para revelar datos a los que se ha accedido.

El ataque Indirector afecta a los procesadores Intel de 12.ª y 13.ª generación (Raptor Lake y Alder Lake). Intel fue notificada de la vulnerabilidad en febrero de 2024 e informó a los fabricantes de hardware y software afectados.

Los investigadores propusieron dos métodos principales de protección contra los ataques Indirector:

Uso más agresivo de la barrera de predicción de ramas indirectas (IBPB).

Fortalecimiento del diseño de la unidad de predicción de ramas (BPU) mediante la inclusión de etiquetas más complejas, cifrado y aleatorización.

No obstante, la implementación de estas medidas de protección conlleva pérdidas sustanciales en el rendimiento. Por ejemplo, en Linux, el IBPB se activa por defecto en transiciones al modo SECCOMP o en tareas con ramas indirectas limitadas en el núcleo, pero su uso es limitado debido a una caída del 50% en el rendimiento.

Información más detallada sobre el ataque Indirector, los métodos de ataque, los posibles mecanismos de fuga de datos y las medidas de protección propuestas se presentan en el artículo técnico de los investigadores. También han publicado en GitHub pruebas de concepto y herramientas para sus ataques.