Изследователи от Свободния университет в Амстердам направени известни наскоро намери един нова уязвимост, която е разширена версия на уязвимостта Spectre-v2 на процесори Intel и ARM.
Тази нова уязвимост, към която са кръстени като BHI (Инжектиране на история на клонове, CVE-2022-0001), bhb (Буфер за история на клонове, CVE-2022-0002) и Spectre-BHB (CVE-2022-23960), се характеризира с това, че позволява заобикаляне на механизмите за защита на eIBRS и CSV2, добавени към процесорите.
Уязвимостта е описана в различни прояви на един и същ проблем, тъй като BHI е атака, която засяга различни нива на привилегии, например потребителски процес и ядрото, докато BHB е атака на същото ниво на привилегия, например eBPF JIT и ядрото.
Относно уязвимостта
Концептуално, BHI е разширен вариант на атаката Spectre-v2, при който да се заобиколи допълнителна защита (Intel eIBRS и Arm CSV2) и да се организира изтичането на данни, заместването на стойности в буфера с глобална история на клонове (Branch History Buffer), която се използва в процесора за подобряване на точността на прогнозиране на клонове като се вземе предвид историята на минали преходи.
В хода на атака чрез манипулации с историята на преходите, създават се условия за неправилно прогнозиране на прехода и спекулативно изпълнение на необходимите инструкции, чийто резултат се депозира в кеша.
С изключение на използването на буфер за хронология на версиите вместо буфер за целеви версии, новата атака е идентична с Spectre-v2. Задачата на нападателя е да създаде такива условия, че адресът, при извършване на спекулативна операция, тя се взема от областта на данните, които се определят.
След извършване на спекулативен индиректен скок адресът за прескачане, прочетен от паметта, остава в кеша, след което един от методите за определяне на съдържанието на кеша може да се използва за извличането му въз основа на анализ на промяната във времето за достъп до кеша и некеширано данни.
Изследователите демонстрираха функционален експлоат, който позволява на потребителското пространство да извлича произволни данни от паметта на ядрото.
Например, показва как с помощта на подготвения експлойт е възможно да се извлече от буферите на ядрото низ с хеш на паролата на root потребителя, зареден от файла /etc/shadow.
Експлойтът демонстрира способността да се използва уязвимостта в рамките на едно ниво на привилегия (атака от ядро до ядро) с помощта на заредена от потребителя програма eBPF. Възможността за използване на съществуващи джаджи Spectre в кода на ядрото, скриптове, които водят до спекулативно изпълнение на инструкции, също не е изключена.
Уязвимост се появява на повечето актуални процесори на Intel, с изключение на семейството процесори Atom и в няколко от процесорите ARM.
Според проучване, уязвимостта не се проявява при процесорите AMD. За решаване на проблема са предложени няколко метода. софтуер за блокиране на уязвимостта, който може да се използва преди появата на хардуерна защита в бъдещите модели на процесора.
За блокиране на атаки през подсистемата eBPF, sПрепоръчително е да деактивирате по подразбиране възможността за зареждане на eBPF програми от непривилегировани потребители, като напишете 1 във файла “/proc/sys/kernel/unprivileged_bpf_disabled” или като изпълните командата “sysctl -w kernel .unprivileged_bpf_disabled=1”.
За да блокирате атаки чрез джаджи, препоръчително е да използвате инструкцията LFENCE в секции от кода, които потенциално водят до спекулативно изпълнение. Трябва да се отбележи, че конфигурацията по подразбиране на повечето дистрибуции на Linux вече съдържа необходимите мерки за защита, достатъчни за блокиране на eBPF атаката, демонстрирана от изследователите.
Препоръките на Intel за деактивиране на непривилегирован достъп до eBPF също се прилагат по подразбиране, започвайки с ядрото на Linux 5.16 и ще бъдат пренесени към по-ранни клонове.
И накрая, ако се интересувате да можете да научите повече за това, можете да се консултирате с подробностите в следваща връзка.