"Spectre" era um nome presciente para a vulnerabilidade do processador que tira proveito da execução especulativa. Desde sua descoberta inicial em janeiro, 2018, pelo menos três variantes do ataque foram encontradas.

Agora, um grupo de cientistas da computação da Bourns College of Engineering na UC Riverside, que esteve envolvido em algumas dessas descobertas, revelou uma versão potencialmente imparável chamada SpectreRSB.

O SpectreRSB parece imune às defesas conhecidas contra outras variantes do Spectre, incluindo Retpoline e os patches de microcódigo da Intel em alguns cenários de ataque.

Todos os processadores de computador modernos usam um processo conhecido como execução especulativa para concluir as operações com maior velocidade. O processador prevê qual será a próxima etapa e a executa quando as informações para determinar essa etapa não estiverem disponíveis.

Funciona de forma semelhante às linhas de montagem nas fábricas. Nos programas, a maioria das instruções são executadas uma por uma, tornando a operação do pipeline simples. Contudo, algumas instruções desafiam o pipeline:não sabemos de onde vem a próxima instrução até que o pipeline termine de executar a instrução anterior.

É como se um Jeep estivesse pronto para sair da linha de montagem e os trabalhadores tivessem que esperar até que ele estivesse completamente montado antes de descobrirem qual será o próximo carro a ser montado, fazendo com que o pipeline pare de funcionar.

Para contornar esses atrasos, quando o computador termina uma operação, mas não tem instruções sobre o que fazer a seguir, a especulação evita paralisar o pipeline. Se o processador predizer corretamente, ele mantém o pipeline ocupado fazendo um trabalho útil. Se incorreto, ele despeja os dados e reinicia a computação. O pipeline estaria ocioso de qualquer maneira, e nenhum desempenho é perdido.

Outra maneira de pensar nisso é como um hóspede que pede que você traga um refrigerante. Você abre a geladeira e vê vários tipos. Em vez de esperar por instruções de seu convidado, você prevê que eles vão querer coca-cola. Se você está certo, você economizou esforço. Se errado, você volta para a geladeira e pega o certo.

Execução especulativa, combinado com técnicas relacionadas, como processamento fora de ordem, resultar em um aumento de várias vezes no desempenho do processador.

Durante a especulação, o processador pode acessar momentaneamente regiões de sua memória que geralmente são segregadas com segurança de todo o hardware do computador. Os designers de computador pensaram que isso era seguro, uma vez que qualquer acesso desse tipo seria descartado, sem deixar exposição. Mas os dados acessados ​​especulativamente deixam um rastro que pode ser usado para expor esses dados.

Quando a primeira variante do Espectro foi descoberta no início de 2018, O Google desenvolveu um patch chamado Retpoline que protege regiões onde decisões especulativas são tomadas, conhecidos como preditores de ramo. A Intel também criou patches que impedem, ou dar aos programadores ferramentas para prevenir, algumas variantes dos ataques.

A nova variante relatada pelo grupo UC Riverside explora o buffer de pilha de retorno, que armazena endereços aos quais o processador precisará retornar depois de concluir uma operação.

O SpectreRSB funciona inserindo o endereço de retorno errado, ou deletando endereços, no buffer de pilha de retorno. Ao controlar os endereços de devolução, um invasor também pode controlar os endereços de especulação, apontando-os para informações secretas.

Os patches disponíveis até o momento protegem a especulação apenas nos preditores de ramificação. Como o SpectreRSB entra por meio do buffer de pilha de retorno em vez dos preditores de ramificação, os patches disponíveis podem não ser capazes de pará-lo.

O documento recomenda que todos os processadores incorporem um patch conhecido como recarga RSB, que insere um endereço fictício no buffer da pilha para impedir o ataque. Processadores Intel Core i7 a partir do Skylake, chamado Skylake +, incorporam recarga RSB, mas modelos mais antigos e diferentes linhas de processadores, como o Xeon da Intel, que é a principal plataforma usada em servidores e sistemas de computação em nuvem baseados em Intel, não, e permanecer vulnerável ao SpectreRSB.

Os ataques da classe Spectre requerem invasores sofisticados que já tenham acesso para serem executados na máquina da vítima. Os patches protegem contra essa vulnerabilidade.

Os autores do artigo são estudantes de doutorado Esmaiel Mohammadian Koruyeh e Khaled Khasawneh, junto com Chengyu Song e Nael Abu-Ghazaleh, que são professores de ciência da computação e engenharia. Seu papel, "Specter Returns! Ataques de especulação usando o buffer de pilha de retorno, "está disponível em arxiv.org e aparecerá no workshop de segurança da Usenix em tecnologias ofensivas em agosto de 2018.

Em 2016, Abu-Ghazaleh e colaboradores Dmitry Ponomarev da Binghamton University, Dmitry Evtyushkin do College of William and Mary, e Ryan Riley, da Carnegie Mellon University, caracterizou as vulnerabilidades do preditor de branch que estão no centro da variante Spectre 2. No início de 2018, o grupo identificou o branchscope, um ataque que permite que os invasores controlem um componente diferente do preditor de ramificação. Para combater essas ameaças Abu-Ghazaleh, Ponomarev, Evtyushkin, e Chengyu Song desenvolveram o SafeSpec, uma abordagem de design para processadores futuros para eliminar vulnerabilidades de especulação.