Projekt nedávno Grsecurity oznámil prostřednictvím publikace podrobnosti a demo způsob útoku na novou zranitelnost (již uvedeno jako CVE-2021-26341) v procesorech AMD související s prováděním spekulativních instrukcí po bezpodmínečných operacích skoku vpřed.
Zranitelnost umožňuje procesoru spekulativně zpracovávat instrukce bezprostředně po instrukci skoku (SLS) v paměti během spekulativního provádění. Zároveň taková optimalizace funguje nejen pro operátory podmíněného skoku, ale také pro instrukce, které zahrnují přímý nepodmíněný skok, jako jsou JMP, RET a CALL.
Bezpodmínečné instrukce větve mohou být následovány libovolnými daty, která nejsou určena k provedení. Po zjištění, že větev nezahrnuje provedení dalšího příkazu, procesor jednoduše vrátí stav zpět a ignoruje spekulativní provádění, ale trasování provádění instrukce zůstává v obecné mezipaměti a je dostupné pro analýzu pomocí metod vyhledávání postranního kanálu.
AMD poskytuje aktualizaci doporučeného zmírnění, zmírnění G-5, v dokumentu „Softwarové techniky pro řízení spekulací v procesorech AMD“. Zmírnění G-5 pomáhá řešit potenciální zranitelnosti spojené se spekulativním chováním instrukcí větve.
Procesory AMD mohou přechodně provádět instrukce po nepodmíněné dopředné větvi, která může mít za následek aktivitu mezipaměti
Stejně jako při využívání Spectre-v1, útok vyžaduje přítomnost určitých sekvencí instrukcí (gadgetů) v jádře, což vede ke spekulativnímu provádění.
V tomto případě se blokování zranitelnosti scvrkává na identifikaci takových zařízení v kódu a přidávání dalších instrukcí, které blokují spekulativní provádění. Podmínky pro spekulativní provádění lze také vytvořit pomocí neprivilegovaných programů běžících na virtuálním stroji eBPF.
Toto vyšetřování vedlo k odhalení nové zranitelnosti CVE-2021-26341 [1] , kterému se budeme podrobně věnovat v tomto článku. Jako obvykle se zaměříme na technické aspekty zranitelnosti, zmírnění navrhovaná AMD a aspekty zneužití.
Chcete-li zablokovat možnost vytvářet zařízení pomocí eBPF, je doporučeno zakázat neprivilegovaný přístup k eBPF v systému ("sysctl -w kernel.unprivileged_bpf_disabled=1").
Tato chyba zabezpečení se týká procesorů založených na mikroarchitektuře Zen1 a Zen2:
Psací stůl
- Procesor AMD Athlon™ X4
- Procesor AMD Ryzen™ Threadripper™ PRO
- Procesory AMD Ryzen™ Threadripper™ druhé generace
- Procesory AMD Ryzen™ Threadripper™ XNUMX. generace
- APU AMD A-series XNUMX. generace
- Stolní procesory AMD Ryzen™ řady 2000
- Stolní procesory AMD Ryzen™ řady 3000
- Stolní procesory AMD Ryzen™ řady 4000 s grafikou Radeon™
Mobilní
- Mobilní procesor AMD Ryzen™ řady 2000
- Mobilní procesory AMD Athlon™ řady 3000 s grafikou Radeon™
- Mobilní procesory AMD Ryzen™ řady 3000 nebo mobilní procesory AMD Ryzen™ druhé generace s grafikou Radeon™
- Mobilní procesory AMD Ryzen™ řady 4000 s grafikou Radeon™
- Mobilní procesory AMD Ryzen™ řady 5000 s grafikou Radeon™
Chromebook
- Mobilní procesory AMD Athlon™ s grafikou Radeon™
Server
- První generace procesorů AMD EPYC™
- Procesory AMD EPYC™ XNUMX. generace
Uvádí se, že pokud je útok úspěšný, zranitelnost umožňuje určit obsah libovolných paměťových oblastí.
Kvůli této zranitelnosti může být možné identifikovat neškodné kódové konstrukce, které tvoří omezená, ale potenciálně zneužitelná zařízení SLS na postižených CPU. Jak je ukázáno na příkladu eBPF, je také možné zneužít zranitelnost pomocí ručně vyrobených zařízení s vlastním vstřikováním. Prezentovanou metodu lze použít například k prolomení zmírnění KASLR linuxového jádra.
Výzkumníci například připravili exploit, který vám umožní určit rozložení adresy a obejít ochranný mechanismus KASLR (náhodná paměť jádra) spuštěním kódu bez oprávnění v subsystému jádra eBPF, kromě dalších scénářů útoku, které by mohly uniknout obsah paměti jádra není vyloučen.
Konečně pokud máte zájem dozvědět se o tom trochu více, můžete zkontrolovat podrobnosti Na následujícím odkazu.