FFRI,Inc.
Monthly Research
Intel Memory Protection Extensionsとその活用
株式会社ＦＦＲＩ
http://www.ffri.jp
Ver 1.00.01
1
FFRI,Inc.
Intel® Memory Protection Extensions(Intel MPX)とは
•  x86, x86-64の命令拡張
–  メモリアクセスの境界チェックを支援する命令とレジスタ
•  2015年2月現在、この機能を搭載したCPUは出荷されていない
–  skylake 世代（2015年出荷予定）で利用可能に
–  Intel Software Development Emulatorで動作を確認できる
※本資料に登場するIntelは、Intel Corp.の登録商標または商標です。
2
FFRI,Inc.
Intel MPX利用の実例：
Code Instrumentationによるバッファオーバーフローの検知
1.  GCCコンパイラのcode instrumentationによるメモリ境界チェックコ
ードの挿入
2.  LinuxカーネルによるIntel MPXのサポート（必須ではない）0xffffffff
….
int A[4];
A[3] = 0; // Regular access
A[4] = 0; // Illegal access A[0]
OK
A array
members
A[1]
A[2]
A[3]
Violation
Not A member
Stack
…
0x00000000
3
FFRI,Inc.
Intel Memory Protection Extensions (Intel MPX)
4
FFRI,Inc.
Intel MPXの概要
•  レジスタとそれに関するCPU命令が追加された
–  プレフィックスが0fなので、mpxが利用できないCPUではnop扱い
•  メモリ境界とポインタを対応づけるbound paging機構が追加
•  CALL, RET, JMP Jcc命令実行時にboundsレジスタを待避&復元する
設定が利用可能になった
•  VMX, TSX命令が拡張された
5
FFRI,Inc.
New Registers
•  BND0-3 Bounds registers
–  128bit長のレジスタ
–  64bitずつ、メモリの上限と下限を設定する
•  BNDCFGU
–  Bound Pagingのベース（Ring3）
•  BNDCFGS
–  Bound Pagingのベース（Ring0-2）
•  BNDSTATUS
–  Bound Pagingの操作アドレスやエラーコードが入る
6
FFRI,Inc.
Bound Paging
•  ポインタの物理アドレスをindexとして、ポインタとBoundsのマ
ッピングを管理する
Linear Address of “pointer”(LAp)
Bound Table Entry
Bound Directory
Bound Table
(4MB - 32bit, 2GB - 64bit)
(16KB - 32bit, 4MB - 64bit)
Bound Directory Entries
Bound Table Entries
Bound Directory Entries
Bound Table Entries
(16Byte - 32bit, 32Byte - 64bit)
DWORD Reserved
DWORD Pointer Value
DWORD Upper Bound
DWORD Lower Bound
7
FFRI,Inc.
BND命令
•  BNDMK
–  boundsレジスタに境界をセット
•  BNDCL
–  boundsレジスタを指定し、レジスタまたはメモリアドレスが
boundsの下限より上かどうかチェック
•  BNDCU, BNDCN
–  boundsレジスタを指定し、レジスタまたはメモリアドレスが
boundsの上限より下かどうかチェック
•  BNDMOV
–  boundsレジスタの読み書き、メモリへの読み書き
•  BNDLDX
–  メモリからboundsレジスタに読み込み
•  BNDSTX
–  boundsレジスタのメモリへの待避
8
FFRI,Inc.
利用イメージ(1)
//スタックベースから配列が確保されていると仮定
; int A[100] from RBP
// RAXに配列のベースアドレスを格納
LEA RAX, [RBP+offset]
// BND0 レジスタのLower bound(0-63bit)にRAXのアドレスを格納
// 同じくupper bound(127-64bit)に(RAX+399)の値を設定
BNDMK BND0, [RAX+399] 9
FFRI,Inc.
利用イメージ(2)
//32bit integerなRBXの値を、RAXの示すアドレス（バッファ）に格納するとき
//バッファの境界はBND0に設定済みとする
BNDCL BND0, [RAX] ;下限のチェック
BNDCU BND0, [RAX+3] ;上限のチェック
MOV Dword ptr [RAX], RBX;
もしBNDCLやBNDCUで境界を越えた場合、BNDSTATUSにエラーコ
ードを設定し、例外#BRを発生させる
10
FFRI,Inc.
BR例外とError Code
•  例外発生時、BNDSTATUSレジスタの0-1bitにエラーコードが格納
される
–  00b – NO Intel MPX exception
–  01b – Bounds violation
•  BNDCL, BNDLU, BNDCN命令にて発生する
–  10b – Invalid bound directory entry
•  BNDLDX BNDSTX命令にて発生する
•  不正なBound directory entryの物理アドレスをBNDSTATUS
レジスタの127-2bitに格納する
–  11b - reserved
11
FFRI,Inc.
Intel MPX Support in GCC Compiler
12
FFRI,Inc.
GCCコンパイラによるIntel MPX利用
•  バッファーオーバーフローなど、連続して確保したメモリ領域を
超えるメモリアクセスを検知するためのcode instrumentationを行う
–  -f mpxオプションで有効に
Code Instrumentationを実施
対象
コード
コンパイル
オブジェクト
リンカ
実行ファイル
13
FFRI,Inc.
GCCが-f mpxでおこなうCode Instrumentation
•  メモリ境界の計算
–  コンパイル時に静的解析し、変数、ポインタごとにメモリ境界設定
コードを生成
•  メモリアクセスごとのチェックコード生成
•  関数呼び出し、終了時のboundsレジスタ初期化、復帰など
•  Bounds tableの管理
–  ポインタと境界の対応付けを管理するBounds tableの管理は、基本
的にランタイムが行う
•  ネストした構造体などにおける境界の圧縮
14
FFRI,Inc.
Memory accesses instrumentationの例
•  p[i]=0;のGIMPLE中間表現のダンプ例
p[i] = 0;
Instrumentation
<bb 2>:
_2 = (long unsigned int) i_1(D);
_3 = _2 * 4;
_6 = p_4(D) + _3;
__builtin_ia32_bndcl (__bounds_of_p_5, _6);
_8 = _6 + 3;
__builtin_ia32_bndcu (__bounds_of_p_5, _8);
*_6 = 0;
Reference：
https://gcc.gnu.org/wiki/Intel%20MPX%20support%20in%20the%20GCC%20compiler
15
FFRI,Inc.
Intel MPX in Linux Kernel
16
FFRI,Inc.
Linux kernel におけるIntel MPXサポート
•  Linux 3.19でIntel MPXのサポート機能がマージされた
–  カーネルによるBounds Tableの動的アローケーション
–  MPXによる例外に関するsignalの追加、変更
–  Bound Tableのクリーンアップ
–  prctlへのコマンド追加
•  カーネルによるBounds Table管理を有効/無効にする
17
FFRI,Inc.
カーネルによるBound Tableの動的アローケーション
•  Bounds Tableは最大2Gの物理アドレスにマッピングしなければならない
–  現実的ではない
–  このため、カーネルがBNDSTXの例外をキャッチして、動的にBound
Tableを拡張する
–  VM_MPXフラグがついた仮想メモリをカーネルが常にトレースする
•  また、do_munmap()をフックし、Bounds Tableがfreeされたら物理ア
ドレスの予約状況を変更する
18
FFRI,Inc.
siginfo構造体の拡張
•  _sigfault構造体に、bounds違反に関するフィールドを追加
/* SIGILL, SIGFPE, SIGSEGV, SIGBUS */
struct {
void __user *_addr; /* faulting insn/memory ref. */
#ifdef __ARCH_SI_TRAPNO
int _trapno;
/* TRAP # which caused the signal */
#endif
short _addr_lsb; /* LSB of the reported address */
struct {
void __user *_lower;
void __user *_upper;
} _addr_bnd;
} _sigfault;
in include/uapi/asm-generic/siginfo.h in Linux kernel source (3.19)
1
19
FFRI,Inc.
まとめ
•  拡張命令自体はプリミティブだが、コンパイラと組み合わせる前
提で、ランタイムによるメモリ保護を行うために十分な機能が備わ
っている
•  パフォーマンスへの影響はまだはっきりと分からない
–  しかし、software fault isolationやruntime code instrumentationよ
りは早いことは確実
•  新しいハードウェアが必要なため、すぐに普及する技術ではない
–  しかし今後、主要コンパイラや言語ランタイムなどで使われてい
く可能性は大いにある
20
FFRI,Inc.
参考文献
• 
Intel® Architecture Instruction Set Extensions Programming Reference Section 9
Version 319433-022 OCTOBER 2014
• 
Intel® Memory Protection Extensions (Intel® MPX) support in the GCC compiler
https://gcc.gnu.org/wiki/Intel%20MPX%20support%20in%20the%20GCC%20compiler
• 
Documentations/x86/intel-mpx.txt in Linux kernel 3.19
21
FFRI,Inc.
Contact Information
E-Mail : research—[email protected]
Twitter : @FFRI_Research
22

報道発表資料・全文（PDF） - NTTアドバンステクノロジ

ダウンロード

ビジネス著作権検定 上級 サンプル問題 PDFファイル&gt

リサーチ・ペーパー「FFR yarai analyzer活用事例-Vawtrakの解析-」

次世代の車載ネットワークと現状のセキュリティ研究動向

2015 年6月8日 各 位 会社名：株式会社アルチザネットワークス 代表者

FFRI とJBサービスがセキュリティ対策サービスで協業 お客様対応の充実

マルウェア自動解析ツール「FFR yarai analyzer Version1.4」

平成 27 年 3 月 2 日 各位 会社名 三協立山株式会社 代表者名 代表

No.24 - あおぞら投信