باحثون من جامعة Vrije أمستردام معروفة، من خلال منشور على مدونة، إلى "تدريب سولو، عائلة جديدة من هجمات Spectre-v2 التي تستغل الثغرات في التنبؤ المضاربي لكسر الحدود الأمنية بين مساحات التنفيذ المتميزة وغير المتميزة، مما يؤثر بشكل مباشر على وحدات المعالجة المركزية من Intel.
التقنيات الجديدة السماح باستخراج المحتوى الحساس من النواة أو المشرف الافتراضي بسرعات تصل إلى 17 كيلوبايت في الثانية، حتى على الأنظمة التي تنفذ إجراءات التخفيف الحديثة مثل IBPB أو eIBRS أو BHI_NO.
تدريب سولو، الوجه الجديد لـ Spectre-v2 يظهر من جديد بقوة
منذ اكتشافه، أصبح Spectre-v2 أحد أصعب فئات الثغرات الأمنية التي يمكن التخفيف من حدتها بسبب طبيعته التخمينية و""التدريب الفردي"، مرة أخرى يتم طرح مشكلة حاسمة، نظرًا لأنه لا يتطلب أي كود يتحكم فيه المهاجم للتأثير على متنبئ الفرع، ولكنه يعتمد بدلاً من ذلك على أجزاء الكود الموجودة (الأدوات) داخل النواة أو المشرف الافتراضي لتدريب المتنبئ من مساحة المستخدم.
يوضح عملنا أن المهاجمين قادرون على اختطاف تدفق التحكم بشكل مضاربي داخل نفس المجال (على سبيل المثال، النواة) وتسريب الأسرار عبر حدود الامتيازات، مما يؤدي إلى إحياء سيناريوهات Spectre-v2 الكلاسيكية دون الاعتماد على صناديق الحماية القوية مثل eBPF. لقد قمنا بإنشاء مجموعة اختبار جديدة لتحليل متنبئ الفرع في سيناريو التدريب الذاتي.
الباحثون لقد أظهروا أنه من خلال التلاعب بهذه الأدوات (على سبيل المثال الاستفادة من مرشحات SECCOMP المستندة إلى cBPF) يمكن أن يحدث التنفيذ المضاربي الذي يقوم بتسريب البيانات من النظام المتميز.
من خلال هذه التقنية، والتي تسمى "التدريب الفردي"، يمكن تغيير تاريخ المتنبئ من الشوك بحيث تحدث قفزات غير صحيحة أثناء التنفيذ التخميني، بهدف تسريب محتوى الذاكرة من خلال التأثيرات الجانبية في ذاكرة التخزين المؤقت.
الكثير تأتي هجمات التدريب الفردية في ثلاثة أشكال، كل واحد منهم يستغل نقاط ضعف مختلفة:
- التلاعب بسجل الفرع باستخدام أدوات النواة:يستغل مكالمات النظام مثل SECCOMP، حيث يمكن للمرشحات تحفيز فروع مضاربة زائفة، مما يؤدي إلى تسريب الذاكرة بمعدل 1,7 كيلوبايت/ثانية على وحدات المعالجة المركزية Intel Tiger Lake وLion Cove.
- تصادمات مؤشر التعليمات (IP) في مخزن التنبؤ بالفرع (BTB): هنا، يمكن لفرعين غير مباشرين مختلفين التأثير على بعضهما البعض إذا تصادمت عناوينهما في المخزن المؤقت، مما يسمح بالتنبؤ الخاطئ بالوجهات التخمينية.
- التأثيرات بين الفروع المباشرة وغير المباشرة: تعتمد هذه التقنية على ثغرتين أمنيتين محددتين (CVE-2024-28956 (ITS) وCVE-2025-24495)، وتستغل كيفية تأثير الفروع المباشرة على التنبؤ بالفروع غير المباشرة. باستخدام هذا النهج، تم استرداد كلمة مرور الجذر بعد تشغيل passwd -s في 60 ثانية فقط.
يركز عملنا على كسر عزلة المجال من خلال التصميم من خلال هجمات التدريب الذاتي. ومع ذلك، فإن مشكلات الأجهزة التي تم اكتشافها في مجموعة الاختبار الخاصة بنا تؤثر أيضًا على تنفيذ العزل، حيث افترضنا أنه لن يتم استخدام الفروع المباشرة لتدريب الفروع غير المباشرة.
تأثير ونطاق الثغرات الأمنية الجديدة
الهجمات تؤثر على مجموعة واسعة من وحدات المعالجة المركزية Intel، بما في ذلك خطوط شعبية مثل Coffee Lake وTiger Lake وIce Lake وRocket Lake، بالإضافة إلى خوادم Xeon من الجيل الثاني والثالث. بالإضافة إلى ذلك، فإن بنيات Lunar Lake وArrow Lake معرضة أيضًا للخطر بسبب CVE-2-3.
للتخفيف من حدة هذه الهجمات، أصدرت شركة Intel تحديثًا للرمز المصغر الذي يقدم تعليمات جديدة: IBHF (سياج تاريخ الفرع غير المباشر)، المصمم لمنع تلوث تاريخ الفرع. يجب تنفيذ هذا التغيير صراحةً بعد أي كود يؤثر على متنبئ الفرع. بالنسبة لوحدات المعالجة المركزية القديمة، يوصى باستخدام حلول برمجية تقوم بمسح السجل يدويًا.
من جانبهم، مطورو نواة لقد بدأ Linux بالفعل في دمج التصحيحات لمواجهة هذه التقنيات، بما في ذلك التدابير التي تنقل القفزات غير المباشرة خارج مناطق ذاكرة التخزين المؤقت الحساسة والحماية ضد cBPF.
ومن جانبها، أكدت شركة AMD أن هذه التقنيات لا تؤثر على المعالجات الخاصة بك. أشارت شركة ARM إلى أن شرائحها القديمة فقط، والتي لا تدعم امتدادي FEAT_CSV2_3 وFEAT_CLRBHB، هي التي ستكون معرضة للخطر.
أخيرًا ، إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك الرجوع إلى التفاصيل في الرابط التالي.