Un grupo de investigadores descubre una vulnerabilidad en la extensión de etiquetado de memoria (MTE) de ARM, permitiendo a los ciberdelincuentes eludir medidas de seguridad en Google Chrome y el kernel de Linux.
Investigadores de Samsung, la Universidad Nacional de Seúl y el Instituto de Tecnología de Georgia han identificado una nueva vulnerabilidad en la extensión de etiquetado de memoria (MTE) de ARM. Esta vulnerabilidad, llamada «TIKTAG», que no Tik Tok, permite a los atacantes filtrar datos con una tasa de éxito del 95%, comprometiendo las defensas de seguridad de sistemas basados en la arquitectura ARM, como Google Chrome y el kernel de Linux.
Puntos clave
- La vulnerabilidad «TIKTAG» permite a los ciberatacantes filtrar datos con una tasa de éxito superior al 95%.
- TIKTAG utiliza técnicas de ejecución especulativa para extraer etiquetas de memoria MTE, debilitando la protección contra corrupción de memoria.
- Los ataques demostrados afectan a Google Chrome y al kernel de Linux, específicamente en sistemas que utilizan la arquitectura ARM v8.5-A o superior.
- Aunque la filtración de etiquetas no expone datos sensibles directamente, facilita la superación de las defensas MTE.
- Se proponen diversas medidas, pero la implementación de soluciones inmediatas aún está pendiente.
Funcionamiento de MTE
MTE es una característica introducida en la arquitectura ARM v8.5-A, diseñada para detectar y prevenir la corrupción de memoria. Asigna etiquetas de 4 bits a fragmentos de memoria de 16 bytes, asegurando que la etiqueta en el puntero coincida con la región de memoria de acceso, protegiendo así contra ataques de corrupción de memoria. MTE opera en tres modos: síncrono, asíncrono y asimétrico, equilibrando seguridad y rendimiento.
TIKTAG y su impacto
Los investigadores utilizaron dos gadgets, TIKTAG-v1 y TIKTAG-v2, para explotar la ejecución especulativa y filtrar etiquetas de memoria MTE.
- TIKTAG-v1: Explota la reducción de especulación en la predicción de ramas y comportamientos de prefetching de datos de la CPU para filtrar etiquetas MTE. Este gadget es eficaz en ataques contra el kernel de Linux, principalmente en funciones que involucran accesos especulativos a la memoria.
- TIKTAG-v2: Aprovecha el comportamiento de reenvío de almacenamiento a carga en la ejecución especulativa, donde un valor se almacena en una dirección de memoria y se carga inmediatamente desde la misma dirección.
Este gadget demostró ser efectivo contra el navegador Google Chrome, especialmente en el motor JavaScript V8, abriendo camino a vulnerabilidades de corrupción de memoria en el proceso de renderizado.
Respuesta de la industria y medidas propuestas
Los investigadores informaron sus hallazgos entre noviembre y diciembre de 2023, recibiendo una respuesta generalmente positiva, aunque aún no se han implementado soluciones inmediatas.
El artículo publicado en arxiv.org sugiere las siguientes medidas propuestas contra los ataques TIKTAG:
- Modificar el diseño del hardware para evitar que la ejecución especulativa modifique los estados de caché basados en los resultados de verificación de etiquetas.
- Insertar barreras de especulación (e.g., instrucciones sb o isb) para evitar la ejecución especulativa de operaciones críticas de memoria.
- Añadir instrucciones de relleno para extender la ventana de ejecución entre instrucciones de rama y accesos a memoria.
- Mejorar los mecanismos de sandboxing para restringir estrictamente los caminos de acceso a memoria especulativos dentro de regiones de memoria seguras.
ARM, consciente de la importancia de la vulnerabilidad descubierta, no cree que esta vulnerabilidad viole los principios fundamentales de su arquitectura. Esto se debe a que las marcas de memoria (etiquetas utilizadas por MTE) no están diseñadas para ser información confidencial o secreta para el software que opera en la misma área de memoria. En otras palabras, aunque la vulnerabilidad permite la filtración de estas marcas, ARM no lo considera una amenaza crítica porque esas marcas no están destinadas a ser protegidas como datos secretos. El equipo de seguridad de Chrome también reconoció los problemas, pero decidió no corregir las vulnerabilidades, priorizando otros aspectos, dado que el navegador no tiene habilitadas por defecto las defensas basadas en MTE.
En abril de 2024, se descubrieron y reportaron problemas específicos de hardware en el dispositivo Pixel 8 al equipo de seguridad de Android conocidos como oráculos MTE. La persona que los reportó fue elegida para recibir una recompensa, según el programa de recompensas por encontrar vulnerabilidades.
Más información:
- https://arxiv.org/html/2406.08719v1
- https://arxiv.org/pdf/2406.08719
- https://www.bleepingcomputer.com/news/security/new-arm-tiktag-attack-impacts-google-chrome-linux-systems/
