Systematic characterization, exploitation, and protection of microarchitectural features

Abstract

Modern digital infrastructure relies on fast, efficient processors. To achieve high performance, CPUs incorporate proprietary microarchitectural optimization features. These features, however, can inadvertently introduce security vulnerabilities that compromise fundamental platform guarantees. This thesis examines microarchitectural features from three perspectives: characterization, exploitation, and protection. We develop novel methods to characterize security-critical microarchitectural properties, including the Leakage Template, an abstract representation of a side channel. We propose how Leakage Templates can be created and utilized to find instances of the channel they describe in real programs. We also design FetchBench, a framework for characterizing hardware prefetching mechanisms. Using FetchBench, we uncover an unknown Spatial Memory Streaming (SMS) prefetcher implementation in a commercial processor and show how it can be exploited to leak secrets across privilege domains. On the defensive side, we design and implement PreFence, an efficient mitigation against prefetching-based attacks that selectively disables prefetchers during security-critical code execution. Finally, we systematize defenses against attacks on microarchitectural features by analyzing academic and non-academic literature. We point out a bias towards the x86_64 architecture and identify gaps where no defenses are proposed against the attacks we consider.

Moderne digitale Infrastrukturen benötigen schnelle und effiziente Prozessoren. Um hohe Leistungen zu erzielen, nutzen CPUs proprietäre mikroarchitekturelle Optimierungsmechanismen. Diese können unbeabsichtigt Sicherheitslücken verursachen, die grundlegende Plattformgarantien aushöhlen. Diese Dissertation untersucht solche Optimierungen aus drei Perspektiven: Charakterisierung, Angreifbarkeit und Verteidigung. Zur Charakterisierung entwerfen wir das Konzept der Leakage Templates, um Mikroarchitektur-Seitenkanäle abstrakt darstellen zu können. Wir zeigen, wie solche Templates erstellt und genutzt werden können, um konkrete Seitenkanäle in Programmen aufzudecken. Außerdem entwerfen wir FetchBench, ein Framework zur Charakterisierung von Hardware-Prefetchern. Damit decken wir eine bislang unbekannte Prefetcher-Implementierung in einem kommerziellen Prozessor auf und demonstrieren, wie diese zum Ausleiten von Daten über Berechtigungsebenen hinweg ausgenutzt werden kann. Zur Verteidigung entwickeln wir PreFence, eine effiziente Gegenmaßnahme gegen Prefetching-Angriffe, die Prefetcher während der Ausführung sicherheitskritischen Codes selektiv deaktiviert. Zuletzt systematisieren wir Abwehrmaßnahmen gegen Mikroarchitektur-Angriffe anhand akademischer und nicht-akademischer Literatur. Wir erkennen eine Tendenz zur x86_64-Architektur und identifizieren Defizite, wo keine Gegenmaßnahmen gegen die von uns betrachteten Angriffe vorhanden sind.