Dengan serangan eksekusi spekulatif yang tetap menjadi kerentanan keras kepala yang mengganggu prosesor modern, penelitian baru telah menyoroti “kegagalan industri” untuk mengadopsi mitigasi yang dirilis oleh AMD dan Intel, yang menimbulkan ancaman rantai pasokan firmware.
Dijuluki FirmwareBleed oleh Binarly, serangan kebocoran informasi berasal dari paparan lanjutan permukaan serangan mikroarsitektur di pihak vendor perusahaan baik sebagai akibat dari tidak memasukkan perbaikan dengan benar atau hanya menggunakannya sebagian.
“Dampak dari serangan tersebut difokuskan pada pengungkapan konten dari memori istimewa (termasuk dilindungi oleh teknologi virtualisasi) untuk mendapatkan data sensitif dari proses yang berjalan pada prosesor yang sama (CPU),” kata perusahaan perlindungan firmware dalam sebuah laporan yang dibagikan kepada The Hacker. Berita.
“Lingkungan cloud dapat memiliki dampak yang lebih besar ketika server fisik dapat digunakan bersama oleh banyak pengguna atau badan hukum.”
Dalam beberapa tahun terakhir, implementasi eksekusi spekulatif, teknik optimasi yang memprediksi hasil dan target instruksi cabang dalam pipa eksekusi program, telah dianggap rentan terhadap serangan seperti Spectre pada arsitektur prosesor, berpotensi memungkinkan aktor ancaman untuk membocorkan kunci kriptografi dan rahasia lainnya.
Ini bekerja dengan menipu CPU untuk mengeksekusi instruksi yang mengakses data sensitif dalam memori yang biasanya terlarang untuk aplikasi yang tidak memiliki hak istimewa dan kemudian mengekstrak data setelah operasi dibatalkan setelah salah prediksi.
Penanggulangan utama untuk mencegah efek berbahaya dari eksekusi spekulatif adalah pertahanan perangkat lunak yang dikenal sebagai retpoline (alias “Return Trampoline”), yang diperkenalkan pada tahun 2018.
Meskipun temuan baru-baru ini seperti Retbleed secara meyakinkan menunjukkan bahwa retpoline saja tidak cukup untuk menghentikan serangan semacam itu dalam skenario tertentu, analisis terbaru menunjukkan kurangnya konsistensi bahkan dalam menerapkan mitigasi ini sejak awal.
Secara khusus, dibutuhkan praktik terbaik yang disebut isian Return Stack Buffer (RSB) yang diperkenalkan oleh Intel untuk menghindari underflow saat menggunakan retpoline. RSB adalah prediktor alamat untuk instruksi pengembalian (alias RET).
“Prosesor tertentu dapat menggunakan prediktor cabang selain Return Stack Buffer (RSB) saat RSB mengalir,” catat Intel dalam dokumentasinya. “Ini mungkin berdampak pada perangkat lunak yang menggunakan strategi mitigasi retpoline pada prosesor tersebut.”
“Pada prosesor dengan perilaku RSB kosong yang berbeda, [System Management Mode] kode harus mengisi RSB dengan instruksi CALL sebelum kembali dari SMM untuk menghindari gangguan penggunaan teknik retpoline non-SMM.”
Intel juga merekomendasikan isian RSB sebagai mekanisme untuk menggagalkan serangan buffer underflow seperti Retbleed, sebagai alternatif mendesak vendor untuk “mengatur [Indirect Branch Restricted Speculation] sebelum instruksi RET berisiko underflow karena tumpukan panggilan yang dalam.”
Penelitian Binarly, bagaimanapun, telah mengidentifikasi sebanyak 32 firmware dari HP, 59 dari Dell, dan 248 dari Lenovo tidak menyertakan patch isian RSB, menggarisbawahi “kegagalan dalam rantai pasokan firmware.”
Terlebih lagi, analisis kode mendalam telah menemukan contoh di mana mitigasi hadir dalam firmware, tetapi berisi kesalahan implementasi yang menimbulkan masalah keamanannya sendiri, bahkan dalam pembaruan yang dirilis pada tahun 2022 dan untuk perangkat yang menampilkan perangkat keras generasi terbaru.
“Ekosistem rantai pasokan firmware cukup kompleks dan sering kali berisi kegagalan berulang saat menerapkan mitigasi baru di seluruh industri atau memperbaiki kerentanan kode referensi,” kata para peneliti. “Bahkan jika mitigasi hadir di firmware, itu tidak berarti itu diterapkan dengan benar tanpa menciptakan lubang keamanan.”