المشروع مؤخرا أعلن Grsecurity من خلال منشور تفاصيل وعرض طريقة هجوم لثغرة أمنية جديدة (مدرج بالفعل باسم CVE-2021-26341) على معالجات AMD المتعلقة بتنفيذ تعليمات المضاربة بعد عمليات القفز إلى الأمام غير المشروطة.
عالي التأثر يسمح للمعالج بمعالجة المضاربة التعليمات مباشرة بعد تعليمات قفزة (SLS) في الذاكرة أثناء التنفيذ التخميني. في الوقت نفسه ، يعمل هذا التحسين ليس فقط لمشغلي القفز الشرطي ، ولكن أيضًا للإرشادات التي تتضمن قفزة مباشرة غير مشروطة ، مثل JMP و RET و CALL.
يمكن اتباع تعليمات الفرع غير المشروطة ببيانات عشوائية غير مخصصة للتنفيذ. بعد التأكد من أن الفرع لا ينطوي على تنفيذ البيان التالي ، المعالج ببساطة يتراجع عن الحالة ويتجاهل التنفيذ التخميني ، لكن تتبع تنفيذ التعليمات يظل في ذاكرة التخزين المؤقت العامة ومتاح للتحليل باستخدام طرق استرجاع القناة الجانبية.
توفر AMD تحديثًا للتخفيف الموصى به ، تخفيف G-5 ، في المستند التقني "تقنيات البرامج لإدارة المضاربة في معالجات AMD". يساعد التخفيف G-5 في معالجة نقاط الضعف المحتملة المرتبطة بالسلوك التخميني لتعليمات الفرع.
قد تنفذ معالجات AMD التعليمات بشكل عابر بعد فرع أمامي غير مشروط مما قد يؤدي إلى نشاط ذاكرة التخزين المؤقت
كما هو الحال مع استغلال الطيف-v1، يتطلب الهجوم وجود تسلسلات معينة من التعليمات (الأدوات) في النواة ، مما يؤدي إلى التنفيذ التخميني.
في هذه الحالة ، يتلخص حظر الثغرة الأمنية في تحديد هذه الأجهزة في الكود وإضافة تعليمات إضافية إليها تمنع التنفيذ التخميني. يمكن أيضًا إنشاء شروط التنفيذ التخميني باستخدام برامج غير مميزة تعمل على الجهاز الظاهري لـ eBPF.
أدى هذا التحقيق إلى اكتشاف ثغرة أمنية جديدة ، CVE-2021-26341 [1] ، والتي سنناقشها بالتفصيل في هذه المقالة. كالعادة ، سوف نركز على الجوانب الفنية للثغرة الأمنية ، وعمليات التخفيف التي اقترحتها AMD ، وجوانب الاستغلال.
لمنع القدرة على إنشاء أجهزة باستخدام eBPF ، يوصى بتعطيل الوصول غير المتميز إلى eBPF في النظام ("sysctl -w kernel.unprivileged_bpf_disabled = 1').
تؤثر الثغرة الأمنية على المعالجات القائمة على معمارية Zen1 و Zen2 الدقيقة:
مكتب
- معالج AMD Athlon ™ X4
- معالج AMD Ryzen ™ Threadripper ™ PRO
- الجيل الثاني من معالجات AMD Ryzen ™ Threadripper ™
- الجيل الثالث من معالجات AMD Ryzen ™ Threadripper ™
- وحدة APU من السلسلة A من الجيل السابع
- معالجات AMD Ryzen ™ 2000 Series المكتبية
- معالجات AMD Ryzen ™ 3000 Series المكتبية
- معالجات AMD Ryzen ™ 4000 Series المكتبية المزودة برسومات Radeon ™
متنقل
- المعالج المحمول AMD Ryzen ™ 2000 Series
- سلسلة معالجات AMD Athlon ™ 3000 المحمولة مع رسومات Radeon ™
- سلسلة المعالجات المحمولة AMD Ryzen ™ 3000 أو الجيل الثاني من معالجات AMD Ryzen ™ المحمولة المزودة برسومات Radeon ™
- سلسلة المعالجات المحمولة AMD Ryzen ™ 4000 المزودة برسومات Radeon ™
- سلسلة المعالجات المحمولة AMD Ryzen ™ 5000 المزودة برسومات Radeon ™
Chromebook
- معالجات AMD Athlon ™ Mobile مع رسومات Radeon ™
الخادم
- الجيل الأول من معالجات AMD EPYC ™
- الجيل الثاني من معالجات AMD EPYC ™
يذكر أنه إذا نجح الهجوم ، تسمح الثغرة الأمنية بتحديد محتوى مناطق الذاكرة العشوائية.
بسبب هذه الثغرة الأمنية ، قد يكون من الممكن تحديد تكوينات التعليمات البرمجية الحميدة التي تشكل أجهزة SLS محدودة ولكن يمكن استغلالها على وحدات المعالجة المركزية المتأثرة. كما هو موضح في مثال eBPF ، من الممكن أيضًا استغلال الثغرة الأمنية باستخدام الأجهزة المصممة يدويًا والتي يتم حقنها ذاتيًا. يمكن استخدام الطريقة المقدمة ، على سبيل المثال ، لكسر التخفيف KASLR لنواة Linux.
على سبيل المثال ، أعد الباحثون استغلالًا يسمح لك بتحديد تخطيط العنوان وتجاوز آلية حماية KASLR (التوزيع العشوائي لذاكرة kernel) من خلال تنفيذ كود بدون امتيازات في النظام الفرعي لـ eBPF kernel ، بالإضافة إلى سيناريوهات الهجوم الأخرى التي قد تؤدي إلى تسريب لا يتم استبعاد محتويات ذاكرة kernel.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها، يمكنك التحقق من التفاصيل في الرابط التالي.