Группа ученых из Амстердамского свободного университета разработала side-channel атаку, получившую название SLAM (Spectre Linear Address Masking). Атака может использовать аппаратные возможности, призванные повысить безопасность новых процессоров Intel, AMD и Arm, например, для извлечения хеша root-пароля из памяти ядра. Код и все необходимые данные для воспроизведения атаки SLAM уже доступны на GitHub. Также исследователи опубликовали технический отчет, объясняющий принципы работы новой атаки. В своей работе SLAM полагается функцию памяти, которую производители процессоров реализуют по-разному и используют для ее названия разные термины. Intel называет ее Linear Address Masking (LAM), AMD — Upper Address Ignore (UAI), а Arm обозначает ее как Top Byte Ignore (TBI). Как понятно из названия, SLAM связана с нашумевшей уязвимостью Spectre, которая была одной из первых «процессорных» проблем типа transient execution и позволяла сделать конфиденциальную информацию в памяти (такую ​​как ключи шифрования и пароли), уязвимой для side-channel атак. По данным исследователей, SLAM затрагивает главным образом будущие процессоры перечисленных производителей (а также некоторые уже выпущенные процессоры AMD), соответствующие определенным критериям и поддерживающие LAM, UAI и TBI. В частности, проблема возникает из-за отсутствия строгих canonicality-проверок в будущих чипах, а LAM, UAI и TBI не только улучшают безопасность и управление памятью, но и увеличивают возможности для Spectre-атак. Так, по данным ученых, SLAM затрагивает следующие процессоры: существующие процессоры AMD, уязвимые перед CVE-2020-12965; грядущие процессоры Intel с поддержкой LAM (4- и 5-уровневый paging); грядущие процессоры AMD, поддерживающие UAI и 5-уровневый paging; грядущие процессоры Arm, поддерживающие TBI и 5-уровневый paging. Эксперты продемонстрировали эффективность своей атаки, эмулируя будущую функцию LAM от Intel в Ubuntu последнего поколения. Эксплоит специалистов нацелен на вариант атаки Spectre BHI, которая позволяет обойти некоторые аппаратные средства защиты, реализованные в ответ на оригинальную проблему Spectre, и использует различные гаджеты в новейшем ядре Linux для извлечения хеша root-пароля из памяти ядра за несколько минут. Атака полагается на новую технику transient execution, которая направлена на использование ранее неисследованного для таких целей класса гаджетов. Гаджеты представляют собой инструкции в программном коде, которыми злоумышленник может манипулировать, чтобы запустить спекулятивное выполнение для слива конфиденциальной информации. Для реализации такой атаки в реальной жизни злоумышленнику потребуется выполнить в целевой системе код, взаимодействующий с unmasked-гаджетами, а затем тщательно проанализировать возникающие побочные эффекты, используя сложные алгоритмы для извлечения из памяти ядра конфиденциальной информации. В ответ на публикацию работы исследователей компания Arm выпустила заявление, в котором объяснила, что ее системы уже защищены от атак типа Spectre v2 и Spectre-BHB, и компания не планирует предпринимать никаких дополнительных действий в ответ на SLAM. Компания AMD тоже сообщила, что использует текущие средства защиты от Spectre v2 для борьбы со SLAM и не предоставила никаких дополнительных рекомендаций или патчей, которые могли бы снизить риски. Intel, в свою очередь, анонсировала планы по выпуску рекомендаций, которые будут опубликованы перед релизом процессоров с поддержкой LAM. Например, по развертыванию функции Linear Address Space Separation (LASS) для предотвращения спекулятивного доступа к адресам в режиме user/kernel. До появления дальнейших рекомендаций от производителей инженеры Linux подготовили патчи, которые отключают LAM.