英特尔 CPU 的新威胁：Indirector - 高精度分支目标注入攻击

加州大学圣地亚哥分校的研究人员发表了一篇开创性的论文，详细介绍了英特尔高端 CPU 中一类新的安全漏洞。这些漏洞被称为“Indirector”攻击，利用芯片分支预测机制的弱点来精确操纵程序执行流程。

分支目标注入 (BTI) 攻击是一种侧信道攻击，自 2018 年发现 Spectre 和 Meltdown 以来，它一直受到越来越多的关注。虽然之前的研究主要集中在分支预测单元的其他组件上，但这项新研究深入研究了之前被忽视的间接分支预测器 (IBP)。研究人员的研究结果表明，IBP 可被利用来发起高精度的 BTI 攻击，从而可能危及现代计算系统的安全性。

这篇题为“间接分支预测器：利用间接分支预测器的高精度分支目标注入攻击”的论文介绍了对英特尔 Raptor Lake 和 Alder Lake CPU 中的 IBP 进行的全面逆向工程。这项细致的分析揭示了 IBP 的内部工作原理，包括其大小、结构以及控制索引和标签哈希的精确函数。

该团队利用精心设计的微基准测试和性能计数器对 IBP 的结构进行了逆向工程，揭示了其复杂的索引和标记机制。IBP 的三个表（每个表都是双向集关联的，每路有 512 个条目）使用基于程序计数器 (PC) 和全局历史记录的复杂哈希函数。这些发现对于发起精确的 BTI 攻击至关重要，允许攻击者操纵间接分支预测并将程序控制流重定向到恶意目标。

此外，研究人员还发现了有关英特尔现有硬件防御系统（如 IBPB、IBRS 和 STIBP）的新细节，暴露了其覆盖范围内以前未知的弱点。通过利用这些见解，他们开发了一种名为iBranch Locator的强大工具，使他们能够高精度地精确定位和操纵 IBP 内的特定间接分支。

“借助 iBranch Locator，攻击者能够找到任何受害者 IBP 条目并注入任意目标地址， ”论文共同作者之一 Hosein Yavarzadeh 说道。

这些发现的影响深远，因为它们可能会影响依赖英特尔 CPU 的广泛系统和应用程序。研究人员于 2024 年 2 月负责任地向英特尔披露了他们的发现，该公司正在制定缓解策略。

为了减轻间接攻击带来的风险，研究人员建议更积极地使用间接分支预测屏障 (IBPB) 并改进分支预测单元 (BPU) 设计。虽然英特尔已经集成了新字段来防止不同 SMT 核心和特权级别之间的混叠，但对于同核和同特权场景，还需要采取额外措施。未来的 BPU 设计应包含更复杂的标签，以增强安全域隔离。

完整的论文：

https://indirector.cpusec.org/index_files/Indirector_USENIX_Security_2024.pdf

原文始发于微信公众号（独眼情报）：英特尔 CPU 的新威胁：Indirector – 高精度分支目标注入攻击