"Spectre" était un nom prémonitoire pour la vulnérabilité du processeur qui tire parti de l'exécution spéculative. Depuis sa découverte initiale en janvier, 2018, au moins trois variantes de l'attaque ont été trouvées.

Maintenant, un groupe d'informaticiens du Bourns College of Engineering de l'UC Riverside qui a participé à certaines de ces découvertes a dévoilé une version potentiellement imparable appelée SpectreRSB.

SpectreRSB semble immunisé contre les défenses connues contre d'autres variantes de Spectre, notamment Retpoline et les correctifs de microcode d'Intel dans certains scénarios d'attaque.

Tous les processeurs informatiques modernes utilisent un processus appelé exécution spéculative pour effectuer des opérations plus rapidement. Le processeur prédit quelle sera la prochaine étape et exécute cette étape lorsque les informations permettant de déterminer cette étape ne sont pas disponibles.

Cela fonctionne de la même manière que les chaînes de montage dans les usines. Dans les programmes, la plupart des instructions sont exécutées une par une, simplifier l'exploitation du pipeline. Cependant, certaines instructions défient le pipeline :nous ne savons pas d'où vient la prochaine instruction tant que le pipeline n'a pas fini d'exécuter l'instruction précédente.

C'est comme si une Jeep était prête à sortir de la chaîne de montage et que les ouvriers devaient attendre qu'elle soit complètement assemblée avant de découvrir quelle sera la prochaine voiture à assembler, provoquant l'arrêt du fonctionnement du pipeline.

Pour contourner ces retards, lorsque l'ordinateur a terminé une opération mais n'a pas d'instructions sur la marche à suivre, la spéculation évite de bloquer le pipeline. Si le processeur prédit correctement, il maintient le pipeline occupé à faire un travail utile. Si incorrect, il vide les données et redémarre le calcul. Le pipeline aurait été inactif de toute façon, et aucune performance n'est perdue.

Une autre façon de voir les choses est comme un invité qui vous demande de lui apporter un soda. Vous ouvrez le frigo et voyez plusieurs sortes. Plutôt que d'attendre les instructions de votre invité, vous prédisez qu'ils voudront du cola. Si tu as raison, vous avez économisé des efforts. Si faux, vous retournez au réfrigérateur et obtenez le bon.

Exécution spéculative, associé à des techniques connexes telles que le traitement dans le désordre, entraîner une augmentation de plusieurs fois des performances du processeur.

Au cours de la spéculation, le processeur peut accéder momentanément à des régions de sa mémoire qui sont généralement séparées de manière sécurisée de tout le matériel informatique. Les concepteurs d'ordinateurs pensaient que c'était sûr, étant donné qu'un tel accès serait supprimé, ne laissant aucune exposition. Mais les données accédées de manière spéculative laissent une trace qui peut être utilisée pour exposer ces données.

Lorsque la première variante du Spectre a été découverte plus tôt en 2018, Google a développé un correctif appelé Retpoline qui sécurise les régions où des décisions spéculatives sont prises, connus sous le nom de prédicteurs de branche. Intel a également créé des correctifs qui empêchent, ou donner aux programmeurs des outils pour empêcher, quelques variantes des attaques.

La nouvelle variante signalée par le groupe UC Riverside exploite le tampon de la pile de retour, les adresses de stockage auxquelles le processeur devra revenir après avoir terminé une opération.

SpectreRSB fonctionne en insérant la mauvaise adresse de retour, ou supprimer des adresses, dans le tampon de la pile de retour. En contrôlant les adresses de retour, un attaquant peut également contrôler les adresses de spéculation, les dirigeant vers des informations secrètes.

Les correctifs disponibles à ce jour protègent la spéculation uniquement sur les prédicteurs de branche. Étant donné que SpectreRSB entre via le tampon de pile de retour au lieu des prédicteurs de branche, les correctifs disponibles pourraient ne pas être en mesure de l'arrêter.

Le document recommande que tous les processeurs intègrent un correctif connu sous le nom de remplissage RSB, qui insère une adresse factice dans le tampon de pile pour contrecarrer l'attaque. Les processeurs Intel Core i7 à partir de Skylake, appelé Skylake+, incorporer le remplissage RSB mais des modèles plus anciens et différentes gammes de processeurs, tels que Xeon d'Intel qui sont la principale plate-forme utilisée sur les systèmes et serveurs de cloud computing basés sur Intel, ne pas, et restent vulnérables au SpectreRSB.

Les attaques de classe Spectre nécessitent des attaquants sophistiqués qui ont déjà accès pour s'exécuter sur la machine victime. Les correctifs protègent contre cette vulnérabilité.

Les auteurs de l'article sont les doctorants Esmaiel Mohammadian Koruyeh et Khaled Khasawneh, avec Chengyu Song et Nael Abu-Ghazaleh, qui sont tous deux professeurs d'informatique et d'ingénierie. Leur papier, "Le retour du spectre ! Attaques de spéculation utilisant le tampon de retour de pile, " est disponible sur arxiv.org et apparaîtra dans l'atelier Usenix Security sur les technologies offensives en août 2018.

En 2016, Abu-Ghazaleh et ses collaborateurs Dmitry Ponomarev de l'Université de Binghamton, Dmitry Evtyushkin du Collège Guillaume et Marie, et Ryan Riley de l'Université Carnegie Mellon ont caractérisé les vulnérabilités du prédicteur de branche qui sont au cœur de la variante Spectre 2. Plus tôt en 2018, le groupe a identifié branchscope, une attaque qui permet aux attaquants de contrôler un autre composant du prédicteur de branche. Pour contrer ces menaces Abu-Ghazaleh, Ponomarev, Evtyushkin, et Chengyu Song ont développé SafeSpec, une approche de conception pour les futurs processeurs afin d'éliminer les vulnérabilités de spéculation.