Sicherheitslücken in der x86 / amd64 - Architektur

Transkript

1 Sicherheitslücken in der x86 / amd64 - Architektur Marcell Haritopoulos Matthias Paulitsch Michael Sismanovic 13. Februar 2019

2 Inhaltsverzeichnis 1 Einführung Grundinformationen Geschichtliche Entwicklung Speicherverwaltung Prozessor Modi 2 Spectre Grundinformationen Out of Order Execution Spectre Angrie Versionen und Gegenvorkehrungen 3 Meltdown Grundinformationen Vorgehensweise Unterschied zu Spectre Gegenvorkehrungen / Fixes 4 Weiterführende Literatur

3 Einführung 1 Einführung Grundinformationen Geschichtliche Entwicklung Speicherverwaltung Prozessor Modi 2 Spectre 3 Meltdown 4 Weiterführende Literatur

4 Grundinformationen

5 Grundinformationen Was ist x86? x86 ist eine ISA

6 Grundinformationen Was ist x86? x86 ist eine ISA Was ist ISA? ISA steht für (Instruction Set Architecture) z.b: POP, PUSH, ADD, JUMP...

7 Grundinformationen Was ist x86? x86 ist eine ISA Was ist ISA? ISA steht für (Instruction Set Architecture) z.b: POP, PUSH, ADD, JUMP... Woher kommt der Name x86 Die Modellnummern der ersten Intel-Prozessoren endeten fast alle mit 86 (8086, 80286, 80386, 80486, 80586)

8 Geschichte

9 Geschichte erste x86-prozessoren erschienen mit nur 16 Bits (8086 und 8088)

10 Geschichte erste x86-prozessoren erschienen mit nur 16 Bits (8086 und 8088) 1985 wurde auf 32 Bit aufgerüstet (80386)

11 Geschichte erste x86-prozessoren erschienen mit nur 16 Bits (8086 und 8088) 1985 wurde auf 32 Bit aufgerüstet (80386) 1999 wurde bekanntgegeben, dass AMD x86 auf 64 Bit aufrüsten will. Intel hingegen entschied sich dafür, eine neue Prozessorarchitektur zu entwickeln (Itanium-Architektur IA-64)

12 Virtual Memory

13 Virtual Memory Begriserklärung: Virtueller Arbeitsspeicher ermöglicht es jedem einzelnen Prozess, so zu agieren, als stünde ihm der gesamte Arbeitsspeicher allein zur Verfügung. Dadurch bekommt jedes Programm seinen eigenen Adressraum und wird von allen anderen Prozessen isoliert.

14 Virtual Memory Begriserklärung: Virtueller Arbeitsspeicher ermöglicht es jedem einzelnen Prozess, so zu agieren, als stünde ihm der gesamte Arbeitsspeicher allein zur Verfügung. Dadurch bekommt jedes Programm seinen eigenen Adressraum und wird von allen anderen Prozessen isoliert. Wieso brauchen wir Virtual Memory? Verhindert, dass Programme auf den selben physikalischen Speicher (unkontrolliert) zugreifen. Programme können sich also nicht gegenseitig beeinussen oder Daten klauen.

15 Paging

16 Paging Begriserklärung: Paging ist eine Methode zur virtuellen Adressierung. Der physische Speicher wird in 4k Page Frames aufgeteilt und in den virtuellen Speicher reingehängt. Durch gleiche Page-Gröÿen wird Fragmentierung verhindert.

17 Paging Begriserklärung: Paging ist eine Methode zur virtuellen Adressierung. Der physische Speicher wird in 4k Page Frames aufgeteilt und in den virtuellen Speicher reingehängt. Durch gleiche Page-Gröÿen wird Fragmentierung verhindert. Was ist Memory Fragmentation? Lücken in der Belegung von Speicherblöcken. Durch Allozieren und Freigeben von Speicher können nicht zusammenhängende Lücken entstehen. 5 Blöcke frei 4 Blöcke allozieren

18 Prozessor Modi

19 Prozessor Modi Real Mode: Jeder x86 Prozessor startet im Real Mode. Im Real Mode stehen weder der Erweiterter Speicher noch der Virtuelle Adressraum zur Verfügung. Der Real Mode ist sehr unsicher, deshalb wird meistens beim Starten des Betriebssystems in den Protected Mode gewechselt.

20 Prozessor Modi Real Mode: Jeder x86 Prozessor startet im Real Mode. Im Real Mode stehen weder der Erweiterter Speicher noch der Virtuelle Adressraum zur Verfügung. Der Real Mode ist sehr unsicher, deshalb wird meistens beim Starten des Betriebssystems in den Protected Mode gewechselt. Protected Mode: Der Protected Mode erlaubt das Setzen von Zugrisberechtigungen (Lesen / Schreiben / Ausführen) durch die Protection Rings. Die Protection Rings sind hierarchische Sicherheitsstufen. Es gibt 4 Ringe, angefangen mit Ring 0, der die meisten Privilegien hat und Ring 3, der die wenigsten Privilegien hat.

21 Spectre 1 Einführung 2 Spectre Grundinformationen Out of Order Execution Spectre Angrie Versionen und Gegenvorkehrungen 3 Meltdown 4 Weiterführende Literatur

22 Spectre Grundinformationen

23 Spectre Grundinformationen Entwickler informiert am: 1. Juni 2017

24 Spectre Grundinformationen Entwickler informiert am: 1. Juni 2017 Veröentlichung: 3. Jänner 2018

25 Spectre Grundinformationen Entwickler informiert am: 1. Juni 2017 Veröentlichung: 3. Jänner 2018 Google Project Zero Jann Horn Entdeckt von:

26 Spectre Grundinformationen Entwickler informiert am: 1. Juni 2017 Veröentlichung: 3. Jänner 2018 Google Project Zero Independent Jann Horn Paul Kocher Entdeckt von:

27 Spectre Grundinformationen Entwickler informiert am: 1. Juni 2017 Veröentlichung: 3. Jänner 2018 Entdeckt von: Google Project Zero Independent University of Michigan Jann Horn Paul Kocher Daniel Genkin

28 Spectre Grundinformationen Entwickler informiert am: 1. Juni 2017 Veröentlichung: 3. Jänner 2018 Entdeckt von: Google Project Zero Independent University of Michigan Rambus Security Division Jann Horn Paul Kocher Daniel Genkin Mike Hamburg

29 Spectre Grundinformationen Entwickler informiert am: 1. Juni 2017 Veröentlichung: 3. Jänner 2018 Entdeckt von: Google Project Zero Independent University of Michigan Rambus Security Division TU Graz Jann Horn Paul Kocher Daniel Genkin Mike Hamburg Moritz Lipp

30 Spectre Grundinformationen Entwickler informiert am: 1. Juni 2017 Veröentlichung: 3. Jänner 2018 Entdeckt von: Google Project Zero Independent University of Michigan Rambus Security Division TU Graz University of Adelaide Jann Horn Paul Kocher Daniel Genkin Mike Hamburg Moritz Lipp Yuval Yarom

31 Spectre Grundinformationen

32 Spectre Grundinformationen Warum heiÿt es Spectre? The name is based on the root cause, speculative execution. As it is not easy to x, it will haunt us for quite some time.

33 Spectre Grundinformationen Warum heiÿt es Spectre? The name is based on the root cause, speculative execution. As it is not easy to x, it will haunt us for quite some time. Begriserklärung: Spectre beschreibt Angrisszenarien, bei denen Prozesse Sicherheitslücken in Mikroprozessoren ausnutzen um Informationen des virtuellen Speichers auszulesen

34 Spectre Grundinformationen Warum heiÿt es Spectre? The name is based on the root cause, speculative execution. As it is not easy to x, it will haunt us for quite some time. Begriserklärung: Spectre beschreibt Angrisszenarien, bei denen Prozesse Sicherheitslücken in Mikroprozessoren ausnutzen um Informationen des virtuellen Speichers auszulesen Zusätzliche Vorraussetzung Mikroprozessor verwendet out-of-order-execution

35 Out of Order Execution

36 Out of Order Execution Begriserklärung: Bezeichnet die Möglichkeit, Maschinenbefehle in den Ausführungseinheiten eines Prozessors in einer anderen Reihenfolge auszuführen, als sie im Programmcode stehen.

37 Out of Order Execution Begriserklärung: Bezeichnet die Möglichkeit, Maschinenbefehle in den Ausführungseinheiten eines Prozessors in einer anderen Reihenfolge auszuführen, als sie im Programmcode stehen. Vorteil Stufen der Pipeline besser ausgelastet

38 Out of Order Execution Begriserklärung: Bezeichnet die Möglichkeit, Maschinenbefehle in den Ausführungseinheiten eines Prozessors in einer anderen Reihenfolge auszuführen, als sie im Programmcode stehen. Vorteil Stufen der Pipeline besser ausgelastet Problematik Nur auf von einander unabhängige Befehle anwendbar

39 Out of Order Execution bei Spectre

40 Out of Order Execution bei Spectre Ausnützen der Out of Order Execution:

41 Out of Order Execution bei Spectre Ausnützen der Out of Order Execution: Prozessausführung beeinusst

42 Out of Order Execution bei Spectre Ausnützen der Out of Order Execution: Prozessausführung beeinusst Inhalt einer Speicherzelle aus dem Adressraum ausgelesen

43 Out of Order Execution bei Spectre Ausnützen der Out of Order Execution: Prozessausführung beeinusst Inhalt einer Speicherzelle aus dem Adressraum ausgelesen Hinterlässt bemerkbare Spur im Cache

44 Speculative Execution

45 Speculative Execution Begriserklärung: Ist eine Optimierungstechnik, bei der ein Computer System eine Tätigkeit ausführt, die im weiteren Programmablauf nicht zwingend benötigt wird. Der Prozess wird beendet, bevor überhaupt bekannt ist, ob dieser nötig war, oder nicht.

46 Speculative Execution Begriserklärung: Ist eine Optimierungstechnik, bei der ein Computer System eine Tätigkeit ausführt, die im weiteren Programmablauf nicht zwingend benötigt wird. Der Prozess wird beendet, bevor überhaupt bekannt ist, ob dieser nötig war, oder nicht. Ziel: Einer Verzögerung in der Ausführung vorzubeugen

47 Speculative Execution Begriserklärung: Ist eine Optimierungstechnik, bei der ein Computer System eine Tätigkeit ausführt, die im weiteren Programmablauf nicht zwingend benötigt wird. Der Prozess wird beendet, bevor überhaupt bekannt ist, ob dieser nötig war, oder nicht. Ziel: Einer Verzögerung in der Ausführung vorzubeugen Ungebrauchte Ausführungen: Änderungen werden rückgängig gemacht und die Ergebnisse werden ignoriert

48 Spectre Angrie

49 Spectre Angrie Zitat: Speculative logic is unfaithful in how it executes, can access the victim's memory and registers, and can perform operations with measurable side eects.

50 Spectre Angrie Zitat: Speculative logic is unfaithful in how it executes, can access the victim's memory and registers, and can perform operations with measurable side eects. Konsequenzen:

51 Spectre Angrie Zitat: Speculative logic is unfaithful in how it executes, can access the victim's memory and registers, and can perform operations with measurable side eects. Konsequenzen: Spectre Angrie Nutzen Sicherheitslücken in der Implementierung der Speculative Execution aus

52 Spectre Angrie Zitat: Speculative logic is unfaithful in how it executes, can access the victim's memory and registers, and can perform operations with measurable side eects. Konsequenzen: Spectre Angrie Nutzen Sicherheitslücken in der Implementierung der Speculative Execution aus Zugri auf Speicher und Register möglich

53 Spectre Angrie

54 Spectre Angrie Zitat: Spectre attacks involve inducing a victim to speculatively perform operations that would not occur during correct program execution and which leak the victim's condential information via a side channel to the adversary

55 Spectre Angrie Zitat: Spectre attacks involve inducing a victim to speculatively perform operations that would not occur during correct program execution and which leak the victim's condential information via a side channel to the adversary Konsequenzen

56 Spectre Angrie Zitat: Spectre attacks involve inducing a victim to speculatively perform operations that would not occur during correct program execution and which leak the victim's condential information via a side channel to the adversary Konsequenzen Befehle ausgeführt,die bei einem korrekten Ablauf nicht ausgeführt werden würden

57 Spectre Angrie Zitat: Spectre attacks involve inducing a victim to speculatively perform operations that would not occur during correct program execution and which leak the victim's condential information via a side channel to the adversary Konsequenzen Befehle ausgeführt,die bei einem korrekten Ablauf nicht ausgeführt werden würden Vertrauliche Informationen über side channel übertragen

58 Spectre Angrie

59 Spectre Angrie Zitat: Speculative execution implementations violate the security assumptions underpinning numerous software security mechanisms, including operating system process separation, containerization, just-in-time (JIT) compilation, and countermeasures to cache timing and side-channel attacks.

60 Spectre Angrie Zitat: Speculative execution implementations violate the security assumptions underpinning numerous software security mechanisms, including operating system process separation, containerization, just-in-time (JIT) compilation, and countermeasures to cache timing and side-channel attacks. Konsequenzen

61 Spectre Angrie Zitat: Speculative execution implementations violate the security assumptions underpinning numerous software security mechanisms, including operating system process separation, containerization, just-in-time (JIT) compilation, and countermeasures to cache timing and side-channel attacks. Konsequenzen Mehrere Sicherheitsvorkehrungen zu Nichte gemacht

62 Spectre Angrie Zitat: Speculative execution implementations violate the security assumptions underpinning numerous software security mechanisms, including operating system process separation, containerization, just-in-time (JIT) compilation, and countermeasures to cache timing and side-channel attacks. Konsequenzen Mehrere Sicherheitsvorkehrungen zu Nichte gemacht Viele verschiedene Lücken ausnützbar

63 Spectre Versionen und Gegenvorkehrungen

64 Spectre Versionen und Gegenvorkehrungen Mehr als zehn verschiedene Versionen bekannt

65 Spectre Versionen und Gegenvorkehrungen Mehr als zehn verschiedene Versionen bekannt Einige nur durch Hardware Änderungen behebbar

66 Spectre Versionen und Gegenvorkehrungen Mehr als zehn verschiedene Versionen bekannt Einige nur durch Hardware Änderungen behebbar Mögliche Gegenvorkehrungen bewirken massive Performance Nachteile

67 Meltdown 1 Einführung 2 Spectre 3 Meltdown Grundinformationen Veröentlichung Cache Das Betriebssystem im virtuelle Adressraum Vorgehensweise Unterschied zu Spectre Gegenvorkehrungen / Fixes 4 Weiterführende Literatur

68 Meltdown - Grundinformationen Veröentlichung

69 Meltdown - Grundinformationen Veröentlichung Meltdown ist eine Sicherheitslücke, die hardwareseitige Zugrisbeschränkungen schmelzen lässt.

70 Meltdown - Grundinformationen Veröentlichung Meltdown ist eine Sicherheitslücke, die hardwareseitige Zugrisbeschränkungen schmelzen lässt. Entdeckung: 28. Juli 2017

71 Meltdown - Grundinformationen Veröentlichung Meltdown ist eine Sicherheitslücke, die hardwareseitige Zugrisbeschränkungen schmelzen lässt. Entdeckung: 28. Juli 2017 Veröentlichung: 3. Jänner 2018

72 Meltdown - Grundinformationen Veröentlichung Meltdown ist eine Sicherheitslücke, die hardwareseitige Zugrisbeschränkungen schmelzen lässt. Entdeckung: 28. Juli 2017 Veröentlichung: 3. Jänner 2018 Entdecker:

73 Meltdown - Grundinformationen Veröentlichung Meltdown ist eine Sicherheitslücke, die hardwareseitige Zugrisbeschränkungen schmelzen lässt. Entdeckung: 28. Juli 2017 Veröentlichung: 3. Jänner 2018 TU Graz Moritz Lipp Michael Schwarz Daniel Gruss Stefan Mangard Entdecker:

74 Meltdown - Grundinformationen Veröentlichung Meltdown ist eine Sicherheitslücke, die hardwareseitige Zugrisbeschränkungen schmelzen lässt. Entdeckung: 28. Juli 2017 Veröentlichung: 3. Jänner 2018 Entdecker: TU Graz Cyberus Technology GmbH Moritz Lipp Michael Schwarz Daniel Gruss Stefan Mangard Thomas Prescher Werner Haas

75 Meltdown - Grundinformationen Veröentlichung Meltdown ist eine Sicherheitslücke, die hardwareseitige Zugrisbeschränkungen schmelzen lässt. Entdeckung: 28. Juli 2017 Veröentlichung: 3. Jänner 2018 Entdecker: TU Graz Cyberus Technology GmbH G-Data Advanced Analytics Moritz Lipp Michael Schwarz Daniel Gruss Stefan Mangard Thomas Prescher Werner Haas Anders Fogh

76 Meltdown - Grundinformationen Veröentlichung Meltdown ist eine Sicherheitslücke, die hardwareseitige Zugrisbeschränkungen schmelzen lässt. Entdeckung: 28. Juli 2017 Veröentlichung: 3. Jänner 2018 Entdecker: TU Graz Cyberus Technology GmbH G-Data Advanced Analytics Google Project Zero Moritz Lipp Michael Schwarz Daniel Gruss Stefan Mangard Thomas Prescher Werner Haas Anders Fogh Jann Horn

77 Meltdown - Grundinformationen Veröentlichung Meltdown ist eine Sicherheitslücke, die hardwareseitige Zugrisbeschränkungen schmelzen lässt. Entdeckung: 28. Juli 2017 Veröentlichung: 3. Jänner 2018 Entdecker: TU Graz Cyberus Technology GmbH G-Data Advanced Analytics Google Project Zero University of Michigan Moritz Lipp Michael Schwarz Daniel Gruss Stefan Mangard Thomas Prescher Werner Haas Anders Fogh Jann Horn Daniel Genkin

78 Meltdown - Grundinformationen Veröentlichung Meltdown ist eine Sicherheitslücke, die hardwareseitige Zugrisbeschränkungen schmelzen lässt. Entdeckung: 28. Juli 2017 Veröentlichung: 3. Jänner 2018 Entdecker: TU Graz Cyberus Technology GmbH G-Data Advanced Analytics Google Project Zero University of Michigan University of Adelaide Moritz Lipp Michael Schwarz Daniel Gruss Stefan Mangard Thomas Prescher Werner Haas Anders Fogh Jann Horn Daniel Genkin Yuval Yarom

79 Meltdown - Grundinformationen Veröentlichung Meltdown ist eine Sicherheitslücke, die hardwareseitige Zugrisbeschränkungen schmelzen lässt. Entdeckung: 28. Juli 2017 Veröentlichung: 3. Jänner 2018 Entdecker: TU Graz Cyberus Technology GmbH G-Data Advanced Analytics Google Project Zero University of Michigan University of Adelaide Rambus Security Division Moritz Lipp Michael Schwarz Daniel Gruss Stefan Mangard Thomas Prescher Werner Haas Anders Fogh Jann Horn Daniel Genkin Yuval Yarom Mike Hamburg

80 Meltdown - Grundinformationen Cache

81 Meltdown - Grundinformationen Cache Zugri auf Arbeitsspeicher ist vergleichsweise teuer

82 Meltdown - Grundinformationen Cache Zugri auf Arbeitsspeicher ist vergleichsweise teuer Räumliche und zeitliche Lokalität trit auf viele Programme zu

83 Meltdown - Grundinformationen Cache Cache Zugri auf Arbeitsspeicher ist vergleichsweise teuer Räumliche und zeitliche Lokalität trit auf viele Programme zu Caches sind kleine Zwischenspeicher, die direkt im Prozessor verbaut sind. Nahegelegene Daten werden vorgeladen und abgelegt, um auf diese schneller zugreifen zu können.

84 Meltdown - Grundinformationen Cache

85 Meltdown - Grundinformationen Cache Zugri auf gecached Daten ist wesentlich schneller

86 Meltdown - Grundinformationen Cache Zugri auf gecached Daten ist wesentlich schneller Moderne CPUs haben drei bis vier Levels an Caches. Je gröÿer, desto langsamer ist der Zugri

87 Meltdown - Grundinformationen Cache Zugri auf gecached Daten ist wesentlich schneller Moderne CPUs haben drei bis vier Levels an Caches. Je gröÿer, desto langsamer ist der Zugri Abbildung: Speicherhierachie 1 1 Quelle: TU Chemnitz - Rechnerarchitektur und -systeme

88 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum

89 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Programm-Adressraum Kernel-Adressraum CR3

90 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Programm-Adressraum Kernel-Adressraum System Call CR3

91 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Programm-Adressraum Kernel-Adressraum Interrupt System Call CR3

92 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Programm-Adressraum Kernel-Adressraum Interrupt System Call CR3

93 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Programm-Adressraum Kernel-Adressraum CR3

94 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Programm-Adressraum Kernel-Adressraum Ausführung fortsetzen CR3

95 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Programm-Adressraum Kernel-Adressraum CR3

96 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Programm-Adressraum Kernel-Adressraum CR3

97 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Kernel-Adressraum Programm-Adressraum CR3

98 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Kernel-Adressraum 0xffff (bei Linux x86 64) Programm hat keinen R/W-Zugriff ab dieser Adresse Programm-Adressraum CR3

99 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Kernel-Adressraum Programm-Adressraum System Call CR3

100 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Kernel-Adressraum Interrupt Programm-Adressraum System Call CR3

101 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Kernel-Adressraum Interrupt Programm-Adressraum System Call CR3

102 Meltdown - Grundinformationen Das Betriebssystem im virtuelle Adressraum Ausführung fortsetzen Kernel-Adressraum Programm-Adressraum CR3

103 Meltdown - Vorgehensweise

104 Meltdown - Vorgehensweise 0xA5 0xBADEAFFE Kernel-Adressraum Programm-Adressraum rax rbx rcx CPU-Register BADEAFFE...

105 Meltdown - Vorgehensweise mov al, byte [rcx] 0xA5 0xBADEAFFE Kernel-Adressraum Programm-Adressraum A5 BADEAFFE... rax rbx rcx CPU-Register

106 Meltdown - Vorgehensweise mov al, byte [rcx] 0xA5 0xBADEAFFE Kernel-Adressraum Programm-Adressraum A5 BADEAFFE... rax rbx rcx CPU-Register

107 Meltdown - Vorgehensweise mov al, byte [rcx] 0xA5 Kernel-Adressraum 0xBADEAFFE A5 Reorder Buffer Programm-Adressraum BADEAFFE rax rbx rcx CPU-Register...

108 Meltdown - Vorgehensweise mov al, byte [rcx] 0xA5 Kernel-Adressraum 0xBADEAFFE A5 Reorder Buffer Programm-Adressraum A5 BADEAFFE rax rbx rcx CPU-Register...

109 Meltdown - Vorgehensweise mov al, byte [rcx] 0xA5 Kernel-Adressraum 0xBADEAFFE A5 Reorder Buffer Programm-Adressraum A5 BADEAFFE rax rbx rcx CPU-Register...

110 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC 0xA5 Kernel-Adressraum 0xBADEAFFE A5000 A5 Reorder Buffer Programm-Adressraum A5000 BADEAFFE rax rbx rcx CPU-Register...

111 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC 0xA5 Kernel-Adressraum 0xBADEAFFE A5000 A5 Reorder Buffer Programm-Adressraum A5000 BADEAFFE rax rbx rcx CPU-Register...

112 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC A5000 Reorder Buffer A5 Page FF Page FE Page FD Page FC. Page A5. Page 03 Page 02 Page 01 Page Pages à 4KiB 0xA5 Kernel-Adressraum Programm-Adressraum 0xBADEAFFE 0xBA A5000 BA BADEAFFE... rax rbx rcx CPU-Register

113 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC A5000 Reorder Buffer A5 Page FF Page FE Page FD Page FC. Page A5. Page 03 Page 02 Page 01 Page Pages à 4KiB 0xA5 Kernel-Adressraum Programm-Adressraum 0xBADEAFFE 0xBA L1-Cache A5000 BA BADEAFFE... rax rbx rcx CPU-Register

114 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC mov rbx, qword [rbx + rax] A5000 A5 Reorder Buffer Page FF Page FE Page FD Page FC. Page A5. Page 03 Page 02 Page 01 Page Pages à 4KiB 0xA5 Kernel-Adressraum Programm-Adressraum 0xBADEAFFE 0xBA L1-Cache A5000 BA BADEAFFE... rax rbx rcx CPU-Register

115 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC mov rbx, qword [rbx + rax] BA0A5000 A5000 A5 Reorder Buffer Page FF Page FE Page FD Page FC. Page A5. Page 03 Page 02 Page 01 Page Pages à 4KiB 0xA5 Kernel-Adressraum Programm-Adressraum 0xBADEAFFE 0xBA L1-Cache A5000 BA BADEAFFE... rax rbx rcx CPU-Register

116 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC mov rbx, qword [rbx + rax] BA0A5000 A5000 A5 Reorder Buffer Page A5 Page FF Page FE Page FD Page FC. Page A5. Page 03 Page 02 Page 01 Page Pages à 4KiB 0xA5 Kernel-Adressraum Programm-Adressraum 0xBADEAFFE 0xBA L1-Cache A5000 BA BADEAFFE... rax rbx rcx CPU-Register

117 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC mov rbx, qword [rbx + rax] BA0A5000 A5000 A5 Reorder Buffer Page A5 Page FF Page FE Page FD Page FC. Page A5. Page 03 Page 02 Page 01 Page Pages à 4KiB 0xA5 Kernel-Adressraum Programm-Adressraum 0xBADEAFFE 0xBA L1-Cache A5000 BA BADEAFFE... rax rbx rcx CPU-Register

118 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC mov rbx, qword [rbx + rax] BA0A5000 A5000 A5 Reorder Buffer Page A5 Page FF Page FE Page FD Page FC. Page A5. Page 03 Page 02 Page 01 Page Pages à 4KiB 0xA5 Kernel-Adressraum Programm-Adressraum 0xBADEAFFE 0xBA L1-Cache A5000 BA BADEAFFE... rax rbx rcx CPU-Register

119 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC mov rbx, qword [rbx + rax] Reorder Buffer Page A5 Page FF Page FE Page FD Page FC. Page A5. Page 03 Page 02 Page 01 Page Pages à 4KiB 0xA5 Kernel-Adressraum Programm-Adressraum 0xBADEAFFE 0xBA L1-Cache BA BADEAFFE... rax rbx rcx CPU-Register

120 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC mov rbx, qword [rbx + rax] Reorder Buffer Page A5 Page FF Page FE Page FD Page FC. Page A5. Page 03 Page 02 Page 01 Page Pages à 4KiB 0xA5 Kernel-Adressraum Programm-Adressraum 0xBADEAFFE 0xBA L1-Cache BA BADEAFFE... rax rbx rcx CPU-Register

121 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC mov rbx, qword [rbx + rax] Reorder Buffer Page A5 Page FF Page FE Page FD Page FC. Page A5. Page 03 Page 02 Page 01 Page Pages à 4KiB 0xA5 Kernel-Adressraum Programm-Adressraum 0xBADEAFFE 0xBA L1-Cache BA BADEAFFE... rax rbx rcx CPU-Register

122 Meltdown - Vorgehensweise mov al, byte [rcx] shl rax, 0xC mov rbx, qword [rbx + rax] Reorder Buffer Page A5 0xBADEAFFE ist 0xA5 Page FF Page FE Page FD Page FC. Page A5. Page 03 Page 02 Page 01 Page Pages à 4KiB 0xA5 Kernel-Adressraum Programm-Adressraum 0xBADEAFFE 0xBA L1-Cache BA BADEAFFE... rax rbx rcx CPU-Register

123 Meltdown - Unterschied zu Spectre Meltdown unterscheidet sich von Spectre in vielen Hinsichten: Meltdown Spectre

124 Meltdown - Unterschied zu Spectre Meltdown unterscheidet sich von Spectre in vielen Hinsichten: Prozessoren Meltdown Viele Intel CPUs Einige ARM CPUs Spectre Unter anderem viele Intel, AMD und ARM CPUs

125 Meltdown - Unterschied zu Spectre Meltdown unterscheidet sich von Spectre in vielen Hinsichten: Prozessoren Mechanismus Meltdown Viele Intel CPUs Einige ARM CPUs Race Condition: Berechtigungsprüfung nach spekulativer Ausführung Spectre Unter anderem viele Intel, AMD und ARM CPUs Branch Prediction

126 Meltdown - Unterschied zu Spectre Meltdown unterscheidet sich von Spectre in vielen Hinsichten: Prozessoren Mechanismus Datenzugri Meltdown Viele Intel CPUs Einige ARM CPUs Race Condition: Berechtigungsprüfung nach spekulativer Ausführung Kernel-Speicher und somit gesamter physikalischer Speicher Spectre Unter anderem viele Intel, AMD und ARM CPUs Branch Prediction Andere User-Prozesse

127 Meltdown - Gegenvorkehrungen / Fixes

128 Meltdown - Gegenvorkehrungen / Fixes Vollständige Behebung nur über Austausch von Hardware möglich (z.b. Whiskey Lake für Laptops oder Cascade Lake für Server)

129 Meltdown - Gegenvorkehrungen / Fixes Vollständige Behebung nur über Austausch von Hardware möglich (z.b. Whiskey Lake für Laptops oder Cascade Lake für Server) KPTI - Workaround: Jeder Prozess erhält zwei Page-Tabellen: Abbildung: KPTI 2 2 Quelle: Wikimedia Foundation

130 Meltdown - Gegenvorkehrungen / Fixes Vollständige Behebung nur über Austausch von Hardware möglich (z.b. Whiskey Lake für Laptops oder Cascade Lake für Server) KPTI - Workaround: Jeder Prozess erhält zwei Page-Tabellen: Nur essentieller Kernel-Code und -Daten werden im Ring 3 gemapped Abbildung: KPTI 2 2 Quelle: Wikimedia Foundation

131 Meltdown - Gegenvorkehrungen / Fixes Vollständige Behebung nur über Austausch von Hardware möglich (z.b. Whiskey Lake für Laptops oder Cascade Lake für Server) KPTI - Workaround: Jeder Prozess erhält zwei Page-Tabellen: Nur essentieller Kernel-Code und -Daten werden im Ring 3 gemapped Bei Wechsel in Ring 0 wird gesamter Kernel eingehängt Abbildung: KPTI 2 2 Quelle: Wikimedia Foundation

132 Weiterführende Literatur 1 Generell Meltdown / Spectre Webpage und Paper ( Google Project Zero Blog ( ) 2 Meltdown-spezisch Referenz-Implementation der TU Graz (Github: IAIK/meltdown) G DATA Analytics Blog ( )

133 Vielen Dank für Ihre Aufmerksamkeit