0x01 背景

meltdown（熔斷）以及spectre（幽靈）從爆出到現(xiàn)在大概一個多星期時間了，spectre對應(yīng)的CVE編號為 CVE-2017-5715 、 CVE-2017-5753 ，meltdown對應(yīng)的CVE編號為 CVE-2017-5754

關(guān)于meltdown和spectre相關(guān)研究最早是在2016年 Blackhat USA大會上有過相關(guān)的描述和猜想，研究人員發(fā)現(xiàn)，在現(xiàn)代的處理器架構(gòu)的用戶模式下，存在泄露內(nèi)存區(qū)不可訪問區(qū)域的敏感信息可能性，但是當(dāng)時還沒有具體的實現(xiàn)方法，之后才被格拉茨技術(shù)大學(xué)和其他實驗室研究人員共同研究出該漏洞猜想的利用方法。

處理器級別漏洞一般可以影響整個云計算基礎(chǔ)設(shè)施的發(fā)展歷史，cpu本身的架構(gòu)同時也面臨著嚴(yán)峻的考驗。在看了遍大致原理之后，結(jié)合之前在公司上cissp課的時候老師講過的side channel attack側(cè)信道攻擊的相關(guān)知識，算是把漏洞基本上弄懂了。首先我們先來看下幾個需要掌握的概念。

亂序執(zhí)行

在cpu的流水線工作中，cpu處理執(zhí)行指令如果采用順序的方式，在處理性能上會產(chǎn)生比較大的開銷。現(xiàn)代處理器優(yōu)化了cpu處理指令的方式，程序指令在同樣的單位時鐘周期內(nèi)通過亂序執(zhí)行。所以，可能造成一種提前將需要執(zhí)行的指令進(jìn)行預(yù)執(zhí)行的可能。這種方式雖然提高了cpu的指令處理效率，但是可能會成為內(nèi)核漏洞利用的一種手段。用wiki上的例子解釋

1. b = a * 5

2. v = * b

3. c = a + 3

這里由于1與3可并發(fā)運行，而2之b無法隨即獲得，因此可以先計算乘法1與加法3，再運行2

地址空間

每個進(jìn)程在內(nèi)存地址中都有自己的獨立的內(nèi)存空間，內(nèi)存空間以PLT頁表映射的方式將內(nèi)存實際地址映射成虛擬地址，同時定義了內(nèi)核地址特權(quán)保護(hù)相關(guān)手段。這樣的內(nèi)存空間主要分為用戶可訪問內(nèi)存地址和不可訪問的內(nèi)核地址空間，

分支預(yù)測

CPU執(zhí)行一條指令，一般來說，最少也要經(jīng)過從內(nèi)存中取指令，將指令譯碼解析成微操作（μOP），微操作最終驅(qū)動硬件電路部件三個步驟（簡稱取指令、譯碼和執(zhí)行），如果執(zhí)行一條指令，要等到這三個步驟都完成后，才能執(zhí)行下一條指令，則一條指令執(zhí)行時間過長（用CPU硬件術(shù)語說就是消耗多個時鐘周期），CPU運行速度就無法得到有效提高，循序執(zhí)行就是必須執(zhí)行完當(dāng)前指令才能執(zhí)行下一條指令的執(zhí)行方式。 為了解決這種問題，現(xiàn)代cpu使用分支預(yù)測的方式提前預(yù)測cpu將要執(zhí)行的指令。我們用通俗點的一句話概括這種機制： 如果某一段時間內(nèi)某一條件跳轉(zhuǎn)都走向某一固定分支，則可以預(yù)測這條條件跳轉(zhuǎn)指令下一次很大可能也走向這一分支 。

隱藏信道攻擊（side channel attack）

為了提高內(nèi)存IO效率，通常將經(jīng)常使用的數(shù)據(jù)存放在cache中，cpu緩存通過在較小和較快的內(nèi)存中緩存常用的數(shù)據(jù)來減少慢速內(nèi)存訪問延時帶來的成本。現(xiàn)代cpu具有多級緩存機制，這些緩存通常可以提供給cpu內(nèi)存使用，也可以提供給其他緩存共享使用，PLT表也可能存放在緩存中。

我們用個通俗的例子來解釋隱藏信道攻擊的原理：假設(shè)現(xiàn)在有一個安全等級非常高的私密空間機構(gòu)（類似于美國中央情報局），這個機構(gòu)只能接受外部特定的情報消息（寫），但不能將自己內(nèi)部的一切信息泄漏給外部，（讀），A是這個中央情報局的工作人員，B想拿到中央情報局的一些敏感資料供自己使用。B通過多種渠道認(rèn)識了A，拿到了A的一些把柄，A的工作中也有B需要的敏感文件，A為了自己的名譽答應(yīng)B的泄漏敏感文件要求。商量之后，B為了不讓A暴露自己與A達(dá)成了一個協(xié)議；經(jīng)過B的發(fā)現(xiàn)，A的辦公室每天晚上12點左右關(guān)燈并且關(guān)燈的時間有偏差，B要求A通過一定的手段控制辦公室的關(guān)燈時間以12點為分界點，十二點之前關(guān)燈信號計為1，十二點之后關(guān)燈信號記為0。這樣B和A就源源不斷的通過隱蔽的方式講中央情報局的秘密泄露出來了。

隱藏信道攻擊也稱為旁路攻擊，這種攻擊攻擊是利用緩存引入的時序的差異方式對cpu內(nèi)存進(jìn)行攻擊的一種方式。漏洞poc使用的是基于Flush+Reload的方式對緩存進(jìn)行泄漏，這種攻擊利用最后一級緩存，利用clflush刷新目標(biāo)內(nèi)存位置。通過測量重新加載數(shù)據(jù)所需的時間，攻擊者可以確定數(shù)據(jù)是否由另一個進(jìn)程同時加載到緩存中。

0x02 Spectre攻擊

在理解完上述的幾個關(guān)鍵點之后，我們再來看看spectre這種攻擊的真實利用過程。參考spectre attack上的代碼片段

if（x 《 array1_size）

y = array2［array1［x］ * 256］

代碼片段中首先判斷了用戶進(jìn)程是否越界訪問數(shù)組的非法訪問區(qū)域。在某種程度上，這種方式防止了處理器越界訪問非法訪問的敏感數(shù)據(jù)區(qū)域。然而，在亂序執(zhí)行的條件下，假設(shè)攻擊者可以操縱x的值（對應(yīng)array［x］ = k）泄露單個byte的內(nèi)存值，此時array1_size和array2沒有cache到緩存中，但是k已經(jīng)存入cache緩存了。攻擊者此時可以讓cpu多次執(zhí)行判斷為真的指令，執(zhí)行多次后cpu會將下一條指令預(yù)見性的讀取，這時候只要攻擊者突然改變x為非法訪問內(nèi)存值，則可以讓cpu誤讀取非法區(qū)域中的值，達(dá)到泄露非法地址內(nèi)存信息的目的。