Unveiling security vulnerabilities of RISC-V microprocessors

This thesis analyzes the vulnerability of the Berkeley Out-Of-Order Machine (BOOM), a RISC-V open-source out-of-order processor, to transient execution attacks, which comprise Spectre and Meltdown attack families, along with more recently discovered ones, united by exploitation of speculative execution mechanisms to leak confidential data across isolation boundaries, posing a serious threat to modern processors . While originally documented in x86 and ARM architectures, such attacks need to be thoroughly analyzed for their implications on new RISC-V designs. We begin by reviewing the RISC‑V Instruction Set Architecture (ISA) and the historical development of BOOM, its evolution, important features, hardware support, and its differences with respect to in-order RISC-V cores. We then present a comprehensive overview of transient execution attacks, detailing the structures they exploit—such as branch predictors, return stack buffers, and store-to-load forwarding mechanisms—and discussing their relevance to BOOM’s speculative execution pipeline. Following, we describe a methodology for porting a range of known transient execution attacks, including Spectre Variants 1, 2, 4, Meltdown and emerging threats, to BOOM. Each attack is implemented in a modified BOOM model called MEDIUMBOOMV3 which is integrated within Chipyard framework and simulated with Verilator. Our analyses reveal that microarchitectural conditions enable Spectre-based attacks to function, while Meltdown-type attacks appear to be dependent on how BOOM’s privilege and memory management is architected. Moreover, we focus on recently reported attacks like Load Value Injection, Retbleed, and others to illustrate the state-of-the-art in speculative execution threats. Overall, this work emphasizes the necessity of protecting out-of-order RISC‑V designs, indeed, by empirically validating a range of transient execution vulnerabilities, we provide insights for future research and secure design practices aimed at mitigating these sophisticated microarchitectural attacks.

Questa tesi analizza la vulnerabilità della Berkeley Out-Of-Order Machine (BOOM) – un processore RISC-V open-source e out-of-order – relativamente ai Transient Execution Attacks, che includono l'intera famiglia di attacchi Spectre e Meltdown, così come alcune varianti più recenti. Questi attacchi utilizzano meccanismi di esecuzione speculativa per violare dati riservati oltre i confini di isolamento e protezione forniti, costituendo così una minaccia preoccupante per i microprocessori moderni. Sebbene questi attacchi siano stati documentati per la prima volta sulle architetture x86 e ARM, il loro impatto sui nuovi design RISC-V è altrettanto importante da considerare. All’inizio si esamina la RISC‑V Instruction Set Architecture (ISA) e lo sviluppo storico di BOOM, illustrandone l’evoluzione e le principali caratteristiche. Successivamente, si presenta una panoramica completa dei Transient Execution Attacks, descrivendo le strutture sfruttate - come Branch Predictor, Return Stack Buffer e i meccanismi di store-to-load forwarding —, discutendone la rilevanza all’interno della pipeline speculativa di BOOM. Nella parte centrale del lavoro, si descrive una metodologia per il porting di una serie di Transient Execution Attacks noti su BOOM. Ogni attacco è implementato in una versione modificata del core BOOM, denominata MEDIUMBOOMV3, integrata nel framework Chipyard e simulata tramite Verilator. Le analisi evidenziano che determinate condizioni microarchitetturali consentono il funzionamento di attacchi basati su Spectre, mentre gli attacchi di tipo Meltdown risultano dipendenti dalla progettazione dei livelli di privilegio e della gestione della memoria in BOOM. Inoltre, ci si sofferma su attacchi recentemente segnalati per illustrare lo stato dell’arte delle minacce legate all’esecuzione speculativa. In definitiva, questo lavoro sottolinea la necessità di proteggere i design out-of-order basati su RISC‑V: validando empiricamente numerose vulnerabilità, si forniscono indicazioni utili per la ricerca futura e per l’adozione di pratiche di progettazione sicure volte a mitigare queste complesse minacce microarchitetturali.