Forscher an der Freien Universität Amsterdam bekannt gemacht vor kurzem einen gefunden neue Schwachstelle, die eine erweiterte Version der Spectre-v2-Schwachstelle ist auf Intel- und ARM-Prozessoren.
Diese neue Schwachstelle, zu der als BHI getauft haben (Branch History Injection, CVE-2022-0001), BHB (Branch History Buffer, CVE-2022-0002) und Spectre-BHB (CVE-2022-23960), zeichnet sich dadurch aus, dass es die Umgehung der eIBRS- und CSV2-Schutzmechanismen ermöglicht, die den Prozessoren hinzugefügt wurden.
Die Schwachstelle wird in verschiedenen Erscheinungsformen desselben Problems beschrieben, da BHI ein Angriff ist, der verschiedene Berechtigungsebenen betrifft, beispielsweise einen Benutzerprozess und den Kernel, während BHB ein Angriff auf derselben Berechtigungsebene ist, beispielsweise eBPF JIT und der Kern.
Über Verwundbarkeit
Konzeptionell BHI ist eine erweiterte Variante des Spectre-v2-Angriffs, in dem zusätzlicher Schutz (Intel eIBRS und Arm CSV2) umgangen und Datenlecks orchestriert werden, das Ersetzen von Werten im Puffer durch einen globalen Verzweigungsverlauf (Branch History Buffer), der in der CPU verwendet wird, um die Genauigkeit der Verzweigungsvorhersage zu verbessern durch Berücksichtigung der Geschichte vergangener Übergänge.
Im Zuge eines Angriffs durch Manipulationen mit der Geschichte der Übergänge, Bedingungen für die falsche Vorhersage des Übergangs und die spekulative Ausführung werden geschaffen der notwendigen Anweisungen, deren Ergebnis im Cache abgelegt wird.
Mit Ausnahme der Verwendung eines Versionsverlaufspuffers anstelle eines Versionszielpuffers ist der neue Angriff identisch mit Spectre-v2. Die Aufgabe des Angreifers besteht darin, solche Bedingungen zu schaffen, dass die Adresse, Bei der Durchführung einer spekulativen Operation wird sie aus dem Bereich der zu bestimmenden Daten entnommen.
Nach dem Ausführen eines spekulativen indirekten Sprungs verbleibt die aus dem Speicher gelesene Sprungadresse im Cache, wonach eines der Verfahren zum Bestimmen des Inhalts des Cache verwendet werden kann, um ihn basierend auf einer Analyse der Änderung der Cache-Zugriffszeit und ungecachten abzurufen Daten.
Forscher haben einen funktionalen Exploit demonstriert, der es dem User Space ermöglicht, beliebige Daten aus dem Kernel-Speicher zu extrahieren.
Beispielsweise zeigt es, wie es mit dem vorbereiteten Exploit möglich ist, aus den Kernelpuffern einen String mit einem Hash des Passworts des Root-Benutzers zu extrahieren, der aus der Datei /etc/shadow geladen wurde.
Der Exploit demonstriert die Fähigkeit, die Schwachstelle innerhalb einer einzelnen Berechtigungsebene (Kernel-zu-Kernel-Angriff) mit einem vom Benutzer geladenen eBPF-Programm auszunutzen. Auch die Möglichkeit, vorhandene Spectre-Gadgets im Kernel-Code zu verwenden, also Skripte, die zur spekulativen Ausführung von Anweisungen führen, ist nicht ausgeschlossen.
Verletzlichkeit erscheint auf den meisten aktuellen Intel-Prozessoren, mit Ausnahme der Atom-Prozessorenfamilie und in mehreren ARM-Prozessoren.
Recherchen zufolge manifestiert sich die Schwachstelle nicht auf AMD-Prozessoren. Um das Problem zu lösen, wurden mehrere Verfahren vorgeschlagen. Software zum Blockieren der Schwachstelle, die vor dem Erscheinen des Hardwareschutzes in zukünftigen CPU-Modellen verwendet werden kann.
Um Angriffe durch das eBPF-Subsystem zu blockieren, sEs wird empfohlen, die Möglichkeit zum Laden von eBPF-Programmen standardmäßig zu deaktivieren durch unprivilegierte Benutzer, indem Sie eine 1 in die Datei „/proc/sys/kernel/unprivileged_bpf_disabled“ schreiben oder den Befehl „sysctl -w kernel .unprivileged_bpf_disabled=1“ ausführen.
Um Angriffe durch Gadgets zu blockieren, Es wird empfohlen, die LFENCE-Anweisung zu verwenden in Codeabschnitten, die möglicherweise zu einer spekulativen Ausführung führen. Bemerkenswert ist, dass die Standardkonfiguration der meisten Linux-Distributionen bereits die notwendigen Schutzmaßnahmen enthält, die ausreichen, um den von den Forschern nachgewiesenen eBPF-Angriff zu blockieren.
Die Empfehlungen von Intel, den unprivilegierten Zugriff auf eBPF zu deaktivieren, gelten auch standardmäßig ab Linux-Kernel 5.16 und werden auf frühere Zweige portiert.
Wenn Sie daran interessiert sind, mehr darüber zu erfahren, können Sie die Details im folgenden Link