Fa poc el projecte Grsecurity va donar a conèixer mitjançant una publicació els detalls i una demostració de un mètode d'atac per a una vulnerabilitat nova (ja catalogada com CVE-2021-26341) en processadors AMD relacionada amb l'execució d'instruccions especulatives després d'operacions de salt cap endavant incondicionals.
la vulnerabilitat permet que el processador processi especulativament la instrucció immediatament després de la instrucció de salt (SLS) a la memòria durant l'execució especulativa. Alhora, aquesta optimització funciona no només per a operadors de salt condicional, sinó també per a instruccions que impliquen un salt incondicional directe, com JMP, RET i CALL.
Les instruccions de bifurcació incondicionals poden ser seguides per dades arbitràries que no estan destinades a lexecució. Després de determinar que la bifurcació no implica l'execució de la següent instrucció, el processador simplement reverteix l'estat i no té en compte l'execució especulativa, però el rastre de l'execució de la instrucció roman a la memòria cau general i està disponible per a la seva anàlisi utilitzant mètodes de recuperació de canal lateral.
AMD proporciona una actualització per a una mitigació recomanada, la mitigació G-5, al document tècnic «Tècniques de programari per administrar l'especulació als processadors AMD». La mitigació G-5 ajuda a abordar les possibles vulnerabilitats associades amb el comportament especulatiu de les instruccions de bifurcació.
Els processadors AMD poden executar instruccions de forma transitòria seguint una bifurcació directa incondicional que pot resultar en una activitat de memòria cau
Igual que amb l'explotació de la vulnerabilitat Spectre-v1, un atac requereix la presència de certes seqüències d'instruccions (gadgets) al nucli, cosa que porta a una execució especulativa.
En aquest cas, bloquejar una vulnerabilitat es redueix a identificar aquests dispositius al codi i afegir-los instruccions addicionals que bloquegin l'execució especulativa. Les condicions per a l'execució especulativa també es poden crear utilitzant programes sense privilegis que s'executen a la màquina virtual eBPF.
Aquesta investigació va resultar en el descobriment d'una vulnerabilitat nova, CVE-2021-26341 [1] , que discutirem detalladament en aquest article. Com de costum, ens centrarem en els aspectes tècnics de la vulnerabilitat, les mitigacions suggerides per AMD i els aspectes dexplotació.
Per bloquejar la capacitat de construir dispositius usant eBPF, es recomana desactivar l'accés sense privilegis a eBPF al sistema («sysctl -w kernel.unprivileged_bpf_disabled=1").
La vulnerabilitat afecta els processadors basats en la microarquitectura Zen1 i Zen2:
Escriptori
- Processador AMD Athlon™ X4
- Processador AMD Ryzen™ Threadripper™ PRO
- Processadors AMD Ryzen™ Threadripper™ de segona generació
- Processadors AMD Ryzen™ Threadripper™ de tercera generació
- APU AMD sèrie A de setena generació
- Processadors d'escriptori AMD Ryzen™ serie 2000
- Processadors d'escriptori AMD Ryzen™ serie 3000
- Processadors d'escriptori AMD Ryzen™ sèrie 4000 amb gràfics Radeon™
Mòbil
- Processador mòbil AMD Ryzen™ sèrie 2000
- Processadors mòbils AMD Athlon™ sèrie 3000 amb gràfics Radeon™
- Processadors mòbils AMD Ryzen™ sèrie 3000 o processadors mòbils AMD Ryzen™ de segona generació amb gràfics Radeon™
- Processadors mòbils AMD Ryzen™ sèrie 4000 amb gràfics Radeon™
- Processadors mòbils AMD Ryzen™ sèrie 5000 amb gràfics Radeon™
Chromebook
- Processadors mòbils AMD Athlon™ amb gràfics Radeon™
servidor
- Processadors AMD EPYC™ de primera generació
- Processadors AMD EPYC™ de segona generació
S'esmenta que si l'atac té èxit, la vulnerabilitat permet determinar el contingut de les àrees de memòria arbitràries.
A causa d'aquesta vulnerabilitat, podria ser possible identificar construccions de codi benignes que a les CPU afectades formen dispositius SLS limitats, però potencialment explotables. Com es va demostrar amb l'exemple d'eBPF, també és possible explotar la vulnerabilitat amb dispositius construïts manualment i autoinjectats. El mètode presentat es pot utilitzar, per exemple, per trencar la mitigació KASLR del nucli de Linux.
Per exemple, els investigadors han preparat un exploit que us permet determinar el disseny de la direcció i eludir el mecanisme de protecció KASLR (aleatorització de la memòria del nucli) mitjançant l'execució de codi sense privilegis al subsistema del nucli eBPF, a més que no es descarten altres escenaris datac que puguin filtrar el contingut de la memòria del nucli.
Finalment si estàs interessat a poder conèixer una mica més sobre això, Pots consultar els detalls en el següent enllaç.