Indirector - новая микроархитектурная атака, затрагивающая CPU Intel Raptor Lake и Alder Lake

Исследователи из Калифорнийского университета в Сан-Диего представили новый метод атаки на микроархитектурные структуры процессоров Intel, применимый среди прочего к CPU на базе микроархитектур Raptor Lake и Alder Lake. Атака, которая получила кодовое имя Indirector, позволяет добиться изменения хода спекулятивного выполнения инструкций в других процессах и на других уровнях привилегий (например в ядре или другой виртуальной машине), выполняемых в одном потоке CPU с кодом атакующего. В качестве демонстрации работы метода подготовлен прототип эксплоита, позволяющий определить раскладку адресов памяти для обхода механизма защиты ASLR (Address Space Layout Randomization). Кроме того, под лицензией MIT опубликован инструментарий, разработанный для анализа и обратного инжиниринга микроархитектурной логики CPU.

Предложено два метода организации атаки. Первый способ основан на искажении содержимого буфера предсказания косвенных переходов IBP (Indirect Branch Predictor), используемого для предсказания косвенных переходов в условиях, когда адрес или смещение для перехода ещё не известны и вычисляются в инструкциях, предшествующих инструкции перехода. Второй метод затрагивает буфер предсказания переходов BTB (Branch Target Buffer), содержащий информацию о недавних переходах.

https://honk.any-key.press/d/95szjNvdJz3s4H3X87.png

https://honk.any-key.press/d/5FWlG7WMdD8K34636d.png

Выявленные уязвимости дают возможность атакующему определить содержимое записей в буферах IBP и BTB, содержащие адреса переходов, используемые в сторонних процессах, а также осуществить подстановку произвольного адреса перехода в таблицы данных буферов. В итоге атакующий может добиться перенаправления потока выполнения стороннего процесса на желаемый адрес в памяти в ходе спекулятивного выполнения инструкций. После определения ошибочного прогноза результат спекулятивного выполнения отбросится, но адреса и данные, считанные из памяти в процессе спекулятивного выполнения инструкций, осядут в кэше и их можно будет извлечь, воспользовавшись одним из способов определения содержимого кэша на основе анализа изменения времени доступа к прокэшированным и не прокэшированным данным. Определение точных адресов косвенных переходов на практике, например, можно использовать для обхода механизма защиты ASLR.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61487

This is bonkers. https://en.m.wikipedia.org/wiki/Disappearing_polymorphs Some pharmaceutical crystals can no longer be synthesised because they now spontaneously change to a more stable (but less medically efficacious) form. The more stable form acts as a seed crystal for the less stable form, and once this happens it creates a cascading effect, in which people who have ever worked with the stable form can contaminate an entire factory/lab and make it unable to reproduce the earlier form.

Edit: Yes, like Ice-Bloody-9. Enough!

Ivan's blog

- Discrete logic IC CPU

Since I was a kid I’ve always wanted to build my own computer. First I had only vague ideas of how computers are made, then I got myself a book about building an 8080-based computer and programming it, later, of course, I’ve got a lot of experience with various computers and microcontrollers, but I’ve never built one from scratch. Now, when I’m 30, I can say I have fulfilled my childhood dream.

- Building a new discrete logic ALU

After a long delay I have continued my discrete logic computer project. Last time I had a working system, but the ALU was based on two ROM chips, which wasn’t nice. It’s time to change that. The ALU # The ALU is asynchronous, it takes two 8-bit values, a carry flag and an operation code as an input and produces an 8-bit result and 4 flags. It can also set the output to High-Z state and flip the inputs.

- Discrete logic chips VGA video card

The next step in my discrete logic computer project after designing a CPU and building a new ALU is to build a video card. Here’s what it can do: Video card parameters # I chose to implement a 80x30 text mode with 4 bit color (like in EGA) because of the address space limitations (only up to 216 bytes can be addressed by my CPU, video buffer should not take a significant part of that).

- Ethernet transceiver

My discrete computer lacks two major things: sound and network. The project I describe here is the first step to making it capable of network communication. I don’t touch the computer itself now, but instead build a transceiver which converts a 10BASE-T Ethernet signal to SPI and back. I use an STM32 MCU to test my transceiver for now. In the future I plan to connect the transceiver to the discrete computer.

- Discrete logic network card

This post is a continuation of my journey to build a complete computer system using discrete logic components. At this point I have made a computer capable of running network applications like an HTTP server or a LAN game. Last year I built a physical level adapter which converts a 10BASE-T Ethernet signal to SPI and back. Back then I used an STM32 microcontroller to test its operation, now I’m implementing a MAC layer module to connect it to my homebrew computer.

One-neutron transfer can beat nuclear fusion in output, here's proof

Neutron transfer has always fascinated scientists, but this time it shocked them. They found that one-neutron stripping can produce output similar to nuclear fusion, one of the most powerful nuclear reactions known to mankind.

https://interestingengineering.com/science/neutron-stripping-output-nuclear-fusion
shid.jpg

Проект ExectOS развивает открытую ОС, нацеленную на совместимость с приложениями Windows

Проект ExectOS предпринял попытку создания с нуля новой операционной системы, оснащённой микроядром с архитектурой XT, созданной по мотивам ядра Windows NT. Компоненты ядра в ExectOS отделены от подсистемы, обеспечивающей работу драйверов устройств, что позволяет обновлять основное ядро без необходимости перекомпиляции драйверов для нового ядра. Код проекта написан на языке С и распространяется под лицензией GPLv3.

Операционная система развивается с оглядкой на возможность предоставления прослойки для выполнения существующих приложений, использующих API Win32, а также способность использования драйверов, поставляемых для Windows. В текущим виде подобные прослойки пока только в планах, а для работы используются собственные приложения и драйверы. Отличия от ReactOS сводятся к тому, что ExectOS развивает отдельную самодостаточную ОС со своей архитектурой XT, предоставляющую слой для совместимости с приложениями для Windows, в то время как ReactOS пытается повторить Windows.

Архитектура ядра XT обеспечивает вытесняющую многозадачность и включает два базовых слоя: микроядро и компоненты, работающие в пространстве пользователя. Компоненты уровня ядра выполняются в отдельной защищённость области памяти и имеют полный доступ к аппаратному обеспечению и системным ресурсам. При этом в отличие от ядра NT в XT отсутствует отдельный уровень HAL (Hardware Abstraction Layer), работающий как прослойка между оборудованием и остальной операционной системой.

Уровень пользователя включает подсистемы, обеспечивающие возможность запуска приложений, написанных для различных операционных систем. Например, подобные подсистемы могут реализовать прослойки для поддержки POSIX-совместимого окружения или для обеспечения запуска программ на базе API Win32. Проектом также развивается собственный загрузчик XT Boot Loader, поддерживающий UEFI, и сборочный инструментарий XTChain на базе LLVM/Clang/LLD.

В текущем виде система поддерживает только процессоры на базе архитектур i686 и 86_64, но сборочный инструментарий дополнительно поддерживает и архитектуру ARM64. Проект развивается с 2022 года, но разработка пока не вышла за рамки начальной стадии. Для тестирования текущего состояния периодически формируются тестовые сборки, которые можно запускать в QEMU или загружать на системах с EFI с USB-накопителя.

В качестве причины создания новой ОС называется желание избавить себя от рамок и ограничений, которые могли бы сдерживать при реализации принципиально новых идей построения операционных систем. Некоторые идеи, которые пытаются воплотить авторы ExectOS, значительно расходятся с архитектурой других проектов, и их легче реализовать без оглядки на существующий код. Разработчики ExectOS также хотели получить полную свободу в экспериментах и возможность на начальной стадии не заботиться о совместимости и соответствии каким-либо требованиям.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61412

TikTag - атака на механизм спекулятивного выполнения в CPU ARM, позволяющая обойти защиту MemTag

Группа исследователей из Сеульского университета и компании Samsung разработала технику атаки на процессоры ARM, получившую кодовое имя TikTag, которую можно использовать для обхода аппаратного механизма защиты MemTag (MTE, Memory Tagging Extension), присутствующего в чипах на базе архитектуры ARMv8.5-A. Атака позволяет определить содержимое тегов TikTag для произвольных адресов памяти из-за утечек данных, возникающих в результате спекулятивного выполнения инструкций CPU.

Технология MemTag даёт возможность привязать теги к областям в памяти и организовать проверку корректности использования указателей для блокирования эксплуатации уязвимостей, вызванных обращением к уже освобождённым блокам памяти, переполнением буфера и обращением до инициализации. При использовании MemTag для каждых 16 байт физической памяти создаётся 4-битовый тег, который выступает подобием ключа для доступа к этой памяти. Тег может быть сгенерирован приложением для выделяемой области памяти при помощи специальных инструкций CPU, и затем сохранён в верхних неиспользуемых битах указателя. При обращении к памяти с использованием теггированного указателя, процессор проверяет соответствие тега, привязанного к указателю, с тегами, привязанными к блокам памяти, и разрешает доступ только если теги совпадают.

Предложенный метод атаки позволяет определить привязанные к блокам памяти теги и обойти защиту MemTag. Исследователями продемонстрирована возможность осуществления атаки TikTag при эксплуатации уязвимостей в ядре Linux и браузере Chrome, используя существующие в данных продуктах последовательности инструкций (гаджеты), приводящие к спекулятивному выполнению кода. Подобные гаджеты при выполнении в спекулятивном режиме кода, работающего с указателями, вызывают чтение метаданных MemTag в зависимости от внешних условий, на которые может влиять атакующий. После определения ошибочного прогноза результат спекулятивного выполнения отбрасывается, но полученные данные остаются в кэше и могут затем быть извлечены при помощи анализа по сторонним каналам. Вероятность успешного обхода защиты MemTag в проведённых тестах оценена в 95% при проведении атаки в течение примерно 4 секунд.

https://honk.any-key.press/d/jFQSz3nxR7l1jg6ky7.png

Выявлено два вида гаджетов, приводящих к утечке сведения о тегах MemTag. В первом случае спекулятивное выполнение возникает при неверном предсказании перехода, а условия для выполнения гаджета могут быть созданы через манипуляции с системными вызовами. Во втором случае спекулятивное выполнение возникает из-за ошибки предсказания взаимосвязи между операциями чтения и записи при использовании оптимизации STLF (Store-To-Load-Forwarding), что позволяет подобрать тег, оценивая состояние кэша (если тег совпадает, значение будет напрямую перенаправлено из прошлой команды "store" в операцию "load" и изменит состояние кэша). Первый вид гаджетов подходит для атаки на ядро Linux, а второй на JavaScript-движок V8, используемый в браузерах на базе Chromium. Прототип инструментария для проведения атаки опубликован на GitHub.

https://honk.any-key.press/d/fldvGWrmTb3k8bjR91.pnghttps://honk.any-key.press/d/SM7mJtG1w36K2qjzsN.png

Компания ARM подтвердила возможность совершения атаки на системах с процессорами Cortex-X2, Cortex-X3, Cortex-A510, Cortex-A520, Cortex-A710, Cortex-A715 и Cortex-A720, но не намерена вносить изменения в CPU для блокирования проблемы, так как архитектура MemTag подразумевает, что теги не являются секретными данными для приложений. В кодовой базе Chromium проблема также остаётся неисправленной, так как в браузере Chrome защита на основе MemTag пока не применяется по умолчанию. Команда, отвечающая за безопасность платформы Android, признала возможность совершения атаки на устройства Pixel 8, в которых применяется защита MemTag, добавила исправления для блокирования утечек и выразила готовность выплатить вознаграждение за найденную уязвимость.

В качестве обходных методов для блокирования атаки исследователи предлагают использовать инструкции sb или isb для запрета спекулятивного выполнения во время совершения критических операций с памятью или включать между инструкциями ветвления и инструкциями доступа к памяти заполнение из других инструкций.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61389

Вероятно, у слонов есть имена — и это не клички, которые дали им люди. Животные придумали их друг другу сами! А еще слоны могут устраивать честные выборы (да-да, в отличие от многих людей)

Слоны традиционно считаются одними из самых умных животных, по этому признаку их нередко сравнивают с китами и человекообразными обезьянами. Неудивительно, что ученые уже десятилетиями с интересом наблюдают за их сложной социальной жизнью. В частности, исследователи прислушиваются к тому, как слоны общаются друг с другом. Так, еще в 1980-е удалось узнать, что эти травоядные могут использовать звуки, чтобы искать партнеров или координировать движение своей группы. Последние же данные говорят о том, что некоторые из этих звуков могут быть именами, которые животные дают друг другу. Такое предположение сделала международная исследовательская группа, проанализировав с помощью машинного обучения почти 500 записей слоновьих зовов. Работа ученых была опубликована 10 июня в журнале Nature Ecology & Evolution. И это далеко не единственное открытие, касающееся этих животных, сделанное за последние месяцы.

https://meduza.io/feature/2024/06/16/veroyatno-u-slonov-est-imena-i-eto-ne-klichki-kotorye-dali-im-lyudi-zhivotnye-pridumali-ih-drug-drugu-sami