Das Projekt vor kurzem Grsecurity durch eine Veröffentlichung bekannt gemacht Details und eine Demo eine Angriffsmethode für eine neue Schwachstelle (bereits aufgeführt als CVE-2021-26341) in AMD-Prozessoren im Zusammenhang mit der Ausführung spekulativer Anweisungen nach unbedingten Vorwärtssprungoperationen.
Verletzlichkeit ermöglicht es dem Prozessor, spekulativ zu verarbeiten der Befehl unmittelbar nach dem Sprungbefehl (SLS) im Speicher während der spekulativen Ausführung. Gleichzeitig funktioniert eine solche Optimierung nicht nur für bedingte Sprungoperatoren, sondern auch für Befehle, die einen direkten unbedingten Sprung beinhalten, wie JMP, RET und CALL.
Auf unbedingte Verzweigungsbefehle können beliebige Daten folgen, die nicht zur Ausführung bestimmt sind. Nachdem festgestellt wurde, dass die Verzweigung keine Ausführung der nächsten Anweisung beinhaltet, der Prozessor setzt einfach den Zustand zurück und ignoriert die spekulative Ausführung, aber die Ablaufverfolgung der Befehlsausführung verbleibt im allgemeinen Cache und steht zur Analyse unter Verwendung von Seitenkanal-Wiedergewinnungsverfahren zur Verfügung.
AMD stellt im Whitepaper „Software Techniques for Managing Speculation in AMD Processors“ ein Update für eine empfohlene Minderung, die G-5-Minderung, bereit. Die G-5-Minderung hilft bei der Bewältigung potenzieller Schwachstellen im Zusammenhang mit spekulativem Verhalten von Verzweigungsbefehlen.
AMD-Prozessoren können vorübergehend Anweisungen ausführen, die einer bedingungslosen Vorwärtsverzweigung folgen, was zu einer Cache-Aktivität führen kann
Wie bei der Ausbeutung des Spectre-v1, ein Angriff erfordert das Vorhandensein bestimmter Sequenzen von Anweisungen (Gadgets) im Kernel, was zu einer spekulativen Ausführung führt.
In diesem Fall läuft das Blockieren einer Schwachstelle darauf hinaus, solche Geräte im Code zu identifizieren und ihnen zusätzliche Anweisungen hinzuzufügen, die die spekulative Ausführung blockieren. Bedingungen für die spekulative Ausführung können auch unter Verwendung von nicht privilegierten Programmen geschaffen werden, die auf der virtuellen eBPF-Maschine laufen.
Diese Untersuchung führte zur Entdeckung einer neuen Schwachstelle, CVE-2021-26341 [1] , auf die wir in diesem Artikel ausführlich eingehen werden. Wie üblich konzentrieren wir uns auf die technischen Aspekte der Schwachstelle, die von AMD vorgeschlagenen Abhilfemaßnahmen und die Ausnutzungsaspekte.
Um die Fähigkeit zum Erstellen von Geräten mit eBPF zu blockieren, Es wird empfohlen, den nicht privilegierten Zugriff auf eBPF zu deaktivieren Im System ("sysctl -w kernel.unprivileged_bpf_disabled=1').
Die Schwachstelle betrifft Prozessoren, die auf der Zen1- und Zen2-Mikroarchitektur basieren:
Schreibtisch
- AMD Athlon™ X4-Prozessor
- AMD Ryzen™ Threadripper™ PRO-Prozessor
- AMD Ryzen™ Threadripper™ Prozessoren der XNUMX. Generation
- AMD Ryzen™ Threadripper™ Prozessoren der XNUMX. Generation
- APU der XNUMX. Generation der AMD A-Serie
- Desktop-Prozessoren der AMD Ryzen™ 2000-Serie
- Desktop-Prozessoren der AMD Ryzen™ 3000-Serie
- Desktop-Prozessoren der AMD Ryzen™ 4000-Serie mit Radeon™-Grafik
Mobiles Set
- Mobiler Prozessor der AMD Ryzen™ 2000-Serie
- Mobile Prozessoren der AMD Athlon™ 3000-Serie mit Radeon™-Grafik
- Mobile Prozessoren der AMD Ryzen™ 3000-Serie oder mobile AMD Ryzen™ Prozessoren der XNUMX. Generation mit Radeon™ Grafikkarte
- Mobile Prozessoren der AMD Ryzen™ 4000-Serie mit Radeon™-Grafik
- Mobile Prozessoren der AMD Ryzen™ 5000-Serie mit Radeon™-Grafik
Chromebook
- AMD Athlon™ Mobile Prozessoren mit Radeon™ Grafik
Server
- AMD EPYC™ Prozessoren der ersten Generation
- AMD EPYC™ Prozessoren der XNUMX. Generation
Es wird erwähnt, dass, wenn der Angriff erfolgreich ist, Die Schwachstelle erlaubt es, den Inhalt beliebiger Speicherbereiche zu ermitteln.
Aufgrund dieser Schwachstelle ist es möglicherweise möglich, gutartige Codekonstrukte zu identifizieren, die begrenzte, aber potenziell ausnutzbare SLS-Geräte auf betroffenen CPUs bilden. Wie das eBPF-Beispiel zeigt, ist es auch möglich, die Schwachstelle mit handgefertigten, selbst injizierten Geräten auszunutzen. Die vorgestellte Methode kann beispielsweise verwendet werden, um die KASLR-Mitigation des Linux-Kernels zu brechen.
Beispielsweise haben Forscher einen Exploit vorbereitet, der es Ihnen ermöglicht, das Layout der Adresse zu bestimmen und den KASLR-Schutzmechanismus (Kernel Memory Randomization) zu umgehen, indem Sie Code ohne Berechtigungen im eBPF-Kernel-Subsystem ausführen, zusätzlich zu anderen Angriffsszenarien, die durchsickern könnten Inhalte des Kernelspeichers sind nicht ausgeschlossen.
Schließlich wenn Sie daran interessiert sind, etwas mehr darüber zu erfahrenkönnen Sie die Details überprüfen im folgenden Link.