0x01 背景

meltdown（熔斷）以及spectre（幽靈）從爆出到現(xiàn)在大概一個(gè)多星期時(shí)間了，spectre對(duì)應(yīng)的CVE編號(hào)為 CVE-2017-5715 、 CVE-2017-5753 ，meltdown對(duì)應(yīng)的CVE編號(hào)為 CVE-2017-5754

關(guān)于meltdown和spectre相關(guān)研究最早是在2016年 Blackhat USA大會(huì)上有過(guò)相關(guān)的描述和猜想，研究人員發(fā)現(xiàn)，在現(xiàn)代的處理器架構(gòu)的用戶模式下，存在泄露內(nèi)存區(qū)不可訪問(wèn)區(qū)域的敏感信息可能性，但是當(dāng)時(shí)還沒(méi)有具體的實(shí)現(xiàn)方法，之后才被格拉茨技術(shù)大學(xué)和其他實(shí)驗(yàn)室研究人員共同研究出該漏洞猜想的利用方法。

處理器級(jí)別漏洞一般可以影響整個(gè)云計(jì)算基礎(chǔ)設(shè)施的發(fā)展歷史，cpu本身的架構(gòu)同時(shí)也面臨著嚴(yán)峻的考驗(yàn)。在看了遍大致原理之后，結(jié)合之前在公司上cissp課的時(shí)候老師講過(guò)的side channel attack側(cè)信道攻擊的相關(guān)知識(shí)，算是把漏洞基本上弄懂了。首先我們先來(lái)看下幾個(gè)需要掌握的概念。

亂序執(zhí)行

在cpu的流水線工作中，cpu處理執(zhí)行指令如果采用順序的方式，在處理性能上會(huì)產(chǎn)生比較大的開(kāi)銷。現(xiàn)代處理器優(yōu)化了cpu處理指令的方式，程序指令在同樣的單位時(shí)鐘周期內(nèi)通過(guò)亂序執(zhí)行。所以，可能造成一種提前將需要執(zhí)行的指令進(jìn)行預(yù)執(zhí)行的可能。這種方式雖然提高了cpu的指令處理效率，但是可能會(huì)成為內(nèi)核漏洞利用的一種手段。用wiki上的例子解釋

1. b = a * 5

2. v = * b

3. c = a + 3

這里由于1與3可并發(fā)運(yùn)行，而2之b無(wú)法隨即獲得，因此可以先計(jì)算乘法1與加法3，再運(yùn)行2

地址空間

每個(gè)進(jìn)程在內(nèi)存地址中都有自己的獨(dú)立的內(nèi)存空間，內(nèi)存空間以PLT頁(yè)表映射的方式將內(nèi)存實(shí)際地址映射成虛擬地址，同時(shí)定義了內(nèi)核地址特權(quán)保護(hù)相關(guān)手段。這樣的內(nèi)存空間主要分為用戶可訪問(wèn)內(nèi)存地址和不可訪問(wèn)的內(nèi)核地址空間，

分支預(yù)測(cè)

CPU執(zhí)行一條指令，一般來(lái)說(shuō)，最少也要經(jīng)過(guò)從內(nèi)存中取指令，將指令譯碼解析成微操作（μOP），微操作最終驅(qū)動(dòng)硬件電路部件三個(gè)步驟（簡(jiǎn)稱取指令、譯碼和執(zhí)行），如果執(zhí)行一條指令，要等到這三個(gè)步驟都完成后，才能執(zhí)行下一條指令，則一條指令執(zhí)行時(shí)間過(guò)長(zhǎng)（用CPU硬件術(shù)語(yǔ)說(shuō)就是消耗多個(gè)時(shí)鐘周期），CPU運(yùn)行速度就無(wú)法得到有效提高，循序執(zhí)行就是必須執(zhí)行完當(dāng)前指令才能執(zhí)行下一條指令的執(zhí)行方式。 為了解決這種問(wèn)題，現(xiàn)代cpu使用分支預(yù)測(cè)的方式提前預(yù)測(cè)cpu將要執(zhí)行的指令。我們用通俗點(diǎn)的一句話概括這種機(jī)制： 如果某一段時(shí)間內(nèi)某一條件跳轉(zhuǎn)都走向某一固定分支，則可以預(yù)測(cè)這條條件跳轉(zhuǎn)指令下一次很大可能也走向這一分支 。

隱藏信道攻擊（side channel attack）

為了提高內(nèi)存IO效率，通常將經(jīng)常使用的數(shù)據(jù)存放在cache中，cpu緩存通過(guò)在較小和較快的內(nèi)存中緩存常用的數(shù)據(jù)來(lái)減少慢速內(nèi)存訪問(wèn)延時(shí)帶來(lái)的成本。現(xiàn)代cpu具有多級(jí)緩存機(jī)制，這些緩存通常可以提供給cpu內(nèi)存使用，也可以提供給其他緩存共享使用，PLT表也可能存放在緩存中。

我們用個(gè)通俗的例子來(lái)解釋隱藏信道攻擊的原理：假設(shè)現(xiàn)在有一個(gè)安全等級(jí)非常高的私密空間機(jī)構(gòu)（類似于美國(guó)中央情報(bào)局），這個(gè)機(jī)構(gòu)只能接受外部特定的情報(bào)消息（寫），但不能將自己內(nèi)部的一切信息泄漏給外部，（讀），A是這個(gè)中央情報(bào)局的工作人員，B想拿到中央情報(bào)局的一些敏感資料供自己使用。B通過(guò)多種渠道認(rèn)識(shí)了A，拿到了A的一些把柄，A的工作中也有B需要的敏感文件，A為了自己的名譽(yù)答應(yīng)B的泄漏敏感文件要求。商量之后，B為了不讓A暴露自己與A達(dá)成了一個(gè)協(xié)議；經(jīng)過(guò)B的發(fā)現(xiàn)，A的辦公室每天晚上12點(diǎn)左右關(guān)燈并且關(guān)燈的時(shí)間有偏差，B要求A通過(guò)一定的手段控制辦公室的關(guān)燈時(shí)間以12點(diǎn)為分界點(diǎn)，十二點(diǎn)之前關(guān)燈信號(hào)計(jì)為1，十二點(diǎn)之后關(guān)燈信號(hào)記為0。這樣B和A就源源不斷的通過(guò)隱蔽的方式講中央情報(bào)局的秘密泄露出來(lái)了。

隱藏信道攻擊也稱為旁路攻擊，這種攻擊攻擊是利用緩存引入的時(shí)序的差異方式對(duì)cpu內(nèi)存進(jìn)行攻擊的一種方式。漏洞poc使用的是基于Flush+Reload的方式對(duì)緩存進(jìn)行泄漏，這種攻擊利用最后一級(jí)緩存，利用clflush刷新目標(biāo)內(nèi)存位置。通過(guò)測(cè)量重新加載數(shù)據(jù)所需的時(shí)間，攻擊者可以確定數(shù)據(jù)是否由另一個(gè)進(jìn)程同時(shí)加載到緩存中。

0x02 Spectre攻擊

在理解完上述的幾個(gè)關(guān)鍵點(diǎn)之后，我們?cè)賮?lái)看看spectre這種攻擊的真實(shí)利用過(guò)程。參考spectre attack上的代碼片段

if（x 《 array1_size）

y = array2［array1［x］ * 256］

代碼片段中首先判斷了用戶進(jìn)程是否越界訪問(wèn)數(shù)組的非法訪問(wèn)區(qū)域。在某種程度上，這種方式防止了處理器越界訪問(wèn)非法訪問(wèn)的敏感數(shù)據(jù)區(qū)域。然而，在亂序執(zhí)行的條件下，假設(shè)攻擊者可以操縱x的值（對(duì)應(yīng)array［x］ = k）泄露單個(gè)byte的內(nèi)存值，此時(shí)array1_size和array2沒(méi)有cache到緩存中，但是k已經(jīng)存入cache緩存了。攻擊者此時(shí)可以讓cpu多次執(zhí)行判斷為真的指令，執(zhí)行多次后cpu會(huì)將下一條指令預(yù)見(jiàn)性的讀取，這時(shí)候只要攻擊者突然改變x為非法訪問(wèn)內(nèi)存值，則可以讓cpu誤讀取非法區(qū)域中的值，達(dá)到泄露非法地址內(nèi)存信息的目的。