Изследователи от Vrije Universiteit Амстердам направени известни, чрез публикация в блог, до „Training Solo, ново семейство атаки Spectre-v2 които използват недостатъци в спекулативните прогнози, за да пробият границите на сигурност между привилегированите и непривилегированите пространства за изпълнение, като пряко засягат процесорите на Intel.
Новите техники позволява извличане на чувствително съдържание от ядрото или хипервизора със скорости до 17 KB в секунда, дори на системи, които внедряват съвременни защитни мерки като IBPB, eIBRS или BHI_NO.
Тренировъчен самостоятелен режим, новото лице на Spectre-v2 се появява отново със сила
От откриването си, Spectre-v2 е един от най-трудните за смекчаване класове уязвимости поради спекулативния си характер и „„Трениране самостоятелно“, отново се въвежда ключов проблем, тъй като не изисква контролиран от атакуващия код, за да повлияе на предсказващия механизъм за разклонения, а вместо това разчита на съществуващи фрагменти от код (джаджи) в ядрото или хипервизора, за да обучи предсказващия механизъм от потребителското пространство.
Нашата работа демонстрира, че нападателите могат спекулативно да отвлекат контролния поток в рамките на един и същ домейн (например ядрото) и да изтеглят тайни през границите на привилегиите, съживявайки класическите сценарии на Spectre-v2, без да разчитат на мощни пясъчникови среди като eBPF. Създадохме нов тестов набор за анализ на предсказващия фактор за разклонения в сценарий за самообучение.
Изследователите са показали, че чрез манипулиране на тези устройства (напр. използване на cBPF-базирани SECCOMP филтри) може да се предизвика спекулативно изпълнение което изтича данни от привилегированата система.
Чрез тази техника, наречена „индивидуално обучение“, историята на предсказващия инструмент може да бъде променена на вилици така че да се получат неправилни скокове по време на спекулативно изпълнение, с цел изтичане на съдържание от паметта чрез странични ефекти в кеша.
Лос Тренировка Соло атаките се предлагат в три варианта, като всеки от тях се възползва от различни слабости:
- Манипулиране на историята на клоновете с помощта на джаджи на ядротоЕксплоатира системни извиквания като SECCOMP, където филтрите могат да индуцират фалшиви спекулативни разклонения, изтичащи памет със скорост от 1,7 KB/s на процесори Intel Tiger Lake и Lion Cove.
- Колизии на указатели на инструкции (IP) в буфера за предсказване на клонове (BTB): Тук два различни индиректни клона могат да си влияят взаимно, ако адресите им се сблъскат в буфера, което позволява спекулативните дестинации да бъдат неправилно предвидени.
- Влияния между преките и непряките клонове: Тази техника, базирана на две специфични уязвимости (CVE-2024-28956 (ITS) и CVE-2025-24495), използва как директните разклонения могат да повлияят на прогнозирането на индиректните разклонения. Използвайки този подход, хешът на root паролата беше възстановен след изпълнение на passwd -s само за 60 секунди.
Нашата работа се фокусира върху разбиване на изолацията на домейни по дизайн чрез атаки за самообучение. Въпреки това, хардуерните проблеми, открити в нашия тестов набор, влияят и на имплементацията на изолацията, тъй като се предполагаше, че директните разклонения няма да се използват за обучение на индиректни разклонения.
Въздействие и обхват на новите уязвимости
Атаките засягат широк спектър от процесори на Intel, включително популярни линии като Coffee Lake, Tiger Lake, Ice Lake и Rocket Lake, както и Xeon сървъри от 2-ро и 3-то поколение. Освен това, архитектурите Lunar Lake и Arrow Lake също са уязвими по отношение на CVE-2025-24495.
За да се смекчат тези атаки, Intel пусна актуализация на микрокода която въвежда нова инструкция: IBHF (Indirect Branch History Fence), предназначена да предотврати замърсяване на историята на клоновете. Тази промяна трябва да бъде имплементирана изрично след всеки код, който засяга предсказващия механизъм за разклонения. За по-стари процесори се препоръчва използването на софтуерни решения, които ръчно изчистват историята.
От своя страна, разработчиците на ядрото на Linux вече започна да интегрира пачове, за да противодейства на тези техники., включително мерки, които преместват индиректните скокове извън чувствителните области на кеша и защита срещу cBPF.
AMD, от своя страна, потвърди, че Тези техники не засягат процесорите ви. ARM посочи, че ще бъдат достъпни само по-старите му чипове, без поддръжка за разширенията FEAT_CSV2_3 и FEAT_CLRBHB.
И накрая, ако се интересувате да научите повече за него, можете да се консултирате с подробностите В следващия линк.