Hertzbleed

Hertzbleed
	Hertzbleed'i simgeleyen logo
CVE kimliği	CVE-2022-24436 (Intel), CVE-2022-24436 (AMD)
Tespit edilen tarih	14 Haziran 2022'de resmen duyuruldu
Düzeltilme tarihi	Herhangi bir yama planlanmıyor
Etkilenen donanım	Dinamik voltaj frekans ölçekleme (DVFS) özelliğini kullanan işlemciler
İnternet sitesi	hertzbleed.com

Hertzbleed, gizli verileri açığa çıkarmak için dinamik frekans ölçekleme özelliğini istismar etmeyi tanımlayan teorik bir donanımsal güvenlik saldırısıdır. Önceki güç analizi açıklarıyla benzerlik gösteren bu saldırı, bir zamanlama saldırısıdır. Hertzbleed, uzaktaki bir saldırgan tarafından istismar edilebildiği için güç analizi saldırılarından daha tehlikelidir. Bu istirmarla ilgili ana endişe, kriptografik anahtarların açığa çıkmasıdır.^[1]^[2]^[3]

Bu istismarın Intel ve AMD işlemcilerinde çalıştığı doğrulanmıştır, Intel'in güvenlik duyurusu tüm Intel işlemcilerin bu istismardan etkilendiğini belirtmektedir. Frekans ölçeklemeyi kullanan başka işlemciler de bulunmaktadır ancak bu saldırı bu işlemciler üzerinde denenmemiştir.

Intel ve AMD bu güvenlik açığıyla ilgili mikrokod yamaları yayınlamayı planlamamaktadır, bunun yerine kriptografi dosyalarının bu açığa karşı sağlamlaştırılması önerilmiştir.

İşleyiş değiştir

Normal zamanlama saldırıları, giriş verisinden bağımsız olarak her komutun eşit sürede gerçekleşmesini sağlayan sabit zamanlı programlama kullanılarak hafifletilebilir. Hertzbleed, bir zamanlama saldırısını bir güç analizi saldırısıyla birleştirir. Güç analizi saldırısı, işlenen veriye ulaşmak için işlemcinin güç tüketimini ölçer; ancak bu, saldırganın güç tüketimini ölçme kabiliyetine sahip olmasını gerektirir.

Hertzbleed, güç tüketimi ve sıcaklık sınırlarını dengelemek için işlemcinin frekansını değiştiren bir işlemci özelliği olan dinamik frekans ölçekleme özelliğinin sebep olduğu yürütüm süresi farklılıklarını istismar eder. İşlemcinin frekansı güç tüketimine göre sıklıkla değişiklik gösterdiği için, ayrıca veriye göre de değişiklik gösterir, uzaktaki bir saldırgan yürütüm süresinden işlenen veriye ulaşabilir. Bu nedenle Hertzbleed, işlemci frekansındaki değişikliklerle ilişkisi olmayan sabit zamanlı programlamayı başarılı bir şekilde atlatır.^[1]

Ayrıca bakınız değiştir

Yan kanal saldırısı

Kaynakça değiştir

^ ^a ^b Goodin, Dan (14 Haziran 2022). "A new vulnerability in Intel and AMD CPUs lets hackers steal encryption keys". Ars Technica. 14 Haziran 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Haziran 2022.
^ "Hertzbleed Attack". Hertzbleed Attack. 15 Haziran 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Haziran 2022.
^ Gatlan, Sergiu. "New Hertzbleed side-channel attack affects Intel, AMD CPUs". Bleeping Computer. 14 Haziran 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Haziran 2022.

[ars-1] Goodin, Dan (14 Haziran 2022). "A new vulnerability in Intel and AMD CPUs lets hackers steal encryption keys". Ars Technica. 14 Haziran 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Haziran 2022.

[2] "Hertzbleed Attack". Hertzbleed Attack. 15 Haziran 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Haziran 2022.

[bleeping-3] Gatlan, Sergiu. "New Hertzbleed side-channel attack affects Intel, AMD CPUs". Bleeping Computer. 14 Haziran 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Haziran 2022.

[1]

[2]

[3]