Βρήκαν μια κερδοσκοπική ευπάθεια εκτέλεσης που επηρεάζει την AMD

Darkcrizt

4 λεπτά

Το έργο πρόσφατα Το Grsecurity έκανε γνωστό μέσω δημοσίευσης λεπτομέρειες και ένα demo μια μέθοδος επίθεσης για μια νέα ευπάθεια (ήδη αναφέρεται ως CVE-2021-26341) σε επεξεργαστές AMD που σχετίζονται με την εκτέλεση κερδοσκοπικών εντολών μετά από λειτουργίες άνευ όρων άλματος προς τα εμπρός.

Τρωτό επιτρέπει στον επεξεργαστή να επεξεργάζεται κερδοσκοπικά την εντολή αμέσως μετά την εντολή άλματος (SLS) στη μνήμη κατά την κερδοσκοπική εκτέλεση. Ταυτόχρονα, μια τέτοια βελτιστοποίηση λειτουργεί όχι μόνο για τελεστές άλματος υπό όρους, αλλά και για οδηγίες που περιλαμβάνουν άμεσο άνευ όρων άλμα, όπως JMP, RET και CALL.

Οι οδηγίες διακλάδωσης άνευ όρων μπορούν να ακολουθηθούν από αυθαίρετα δεδομένα που δεν προορίζονται για εκτέλεση. Αφού προσδιορίσετε ότι ο κλάδος δεν περιλαμβάνει την εκτέλεση της επόμενης δήλωσης, ο επεξεργαστής απλώς επαναφέρει την κατάσταση και αγνοεί την κερδοσκοπική εκτέλεση, αλλά το ίχνος εκτέλεσης εντολών παραμένει στη γενική κρυφή μνήμη και είναι διαθέσιμο για ανάλυση χρησιμοποιώντας μεθόδους ανάκτησης πλευρικού καναλιού.

Η AMD παρέχει μια ενημέρωση για έναν προτεινόμενο μετριασμό, τον μετριασμό G-5, στη λευκή βίβλο "Τεχνικές λογισμικού για τη διαχείριση της κερδοσκοπίας σε επεξεργαστές AMD". Ο μετριασμός του G-5 βοηθά στην αντιμετώπιση πιθανών τρωτών σημείων που σχετίζονται με κερδοσκοπική συμπεριφορά των οδηγιών του κλάδου.

Οι επεξεργαστές AMD ενδέχεται να εκτελούν παροδικά εντολές ακολουθώντας μια άνευ όρων διακλάδωση προώθησης που μπορεί να οδηγήσει σε δραστηριότητα της κρυφής μνήμης

Όπως και με την εκμετάλλευση του Spectre-v1, μια επίθεση απαιτεί την παρουσία ορισμένων ακολουθιών εντολών (gadgets) στον πυρήνα, που οδηγεί σε κερδοσκοπική εκτέλεση.

Σε αυτήν την περίπτωση, ο αποκλεισμός μιας ευπάθειας καταλήγει στον εντοπισμό τέτοιων συσκευών στον κώδικα και στην προσθήκη πρόσθετων οδηγιών σε αυτές που εμποδίζουν την κερδοσκοπική εκτέλεση. Οι συνθήκες για κερδοσκοπική εκτέλεση μπορούν επίσης να δημιουργηθούν χρησιμοποιώντας μη προνομιακά προγράμματα που εκτελούνται στην εικονική μηχανή eBPF.

Αυτή η έρευνα είχε ως αποτέλεσμα την ανακάλυψη μιας νέας ευπάθειας, CVE-2021-26341 [1] , το οποίο θα συζητήσουμε λεπτομερώς σε αυτό το άρθρο. Ως συνήθως, θα επικεντρωθούμε στις τεχνικές πτυχές της ευπάθειας, στους μετριασμούς που προτείνει η AMD και στις πτυχές εκμετάλλευσης.

Για να αποκλείσετε τη δυνατότητα δημιουργίας συσκευών χρησιμοποιώντας eBPF, Συνιστάται η απενεργοποίηση της μη προνομιακής πρόσβασης στο eBPF μέσα στο σύστημα ("sysctl -w kernel.unprivileged_bpf_disabled=1").

Η ευπάθεια επηρεάζει τους επεξεργαστές που βασίζονται στη μικροαρχιτεκτονική Zen1 και Zen2:

γραφείο

  • Επεξεργαστής AMD Athlon™ X4
  • Επεξεργαστής AMD Ryzen™ Threadripper™ PRO
  • Επεξεργαστές XNUMXης γενιάς AMD Ryzen™ Threadripper™
  • Επεξεργαστές XNUMXης γενιάς AMD Ryzen™ Threadripper™
  • APU XNUMXης γενιάς AMD σειράς A
  • Επεξεργαστές επιτραπέζιου υπολογιστή AMD Ryzen™ 2000 Series
  • Επεξεργαστές επιτραπέζιου υπολογιστή AMD Ryzen™ 3000 Series
  • Επεξεργαστές επιτραπέζιου υπολογιστή AMD Ryzen™ 4000 Series με γραφικά Radeon™

Κινητός

  • Επεξεργαστής φορητών συσκευών AMD Ryzen™ 2000 Series
  • Επεξεργαστές φορητών συσκευών AMD Athlon™ 3000 Series με γραφικά Radeon™
  • AMD Ryzen™ 3000 Series Mobile Processors ή XNUMXης γενιάς AMD Ryzen™ Mobile Processors με γραφικά Radeon™
  • Επεξεργαστές φορητών συσκευών AMD Ryzen™ 4000 Series με γραφικά Radeon™
  • Επεξεργαστές φορητών συσκευών AMD Ryzen™ 5000 Series με γραφικά Radeon™

Chromebook

  • Επεξεργαστές φορητών συσκευών AMD Athlon™ με γραφικά Radeon™

Διακομιστή

  • Επεξεργαστές AMD EPYC™ πρώτης γενιάς
  • Επεξεργαστές AMD EPYC™ XNUMXης γενιάς

Αναφέρεται ότι εάν η επίθεση είναι επιτυχής, Η ευπάθεια επιτρέπει τον προσδιορισμό του περιεχομένου αυθαίρετων περιοχών μνήμης.

Λόγω αυτής της ευπάθειας, μπορεί να είναι δυνατός ο εντοπισμός καλοήθων κατασκευών κώδικα που σχηματίζουν περιορισμένες αλλά δυνητικά εκμεταλλεύσιμες συσκευές SLS σε επηρεαζόμενες CPU. Όπως αποδεικνύεται με το παράδειγμα eBPF, είναι επίσης δυνατή η εκμετάλλευση της ευπάθειας με χειροποίητες συσκευές που εγχύονται μόνοι τους. Η παρουσιαζόμενη μέθοδος μπορεί να χρησιμοποιηθεί, για παράδειγμα, για να σπάσει τον μετριασμό KASLR του πυρήνα Linux.

Για παράδειγμα, οι ερευνητές έχουν ετοιμάσει ένα exploit που σας επιτρέπει να προσδιορίσετε τη διάταξη της διεύθυνσης και να παρακάμψετε τον μηχανισμό προστασίας KASLR (τυχαιοποίηση μνήμης πυρήνα) εκτελώντας κώδικα χωρίς δικαιώματα στο υποσύστημα πυρήνα eBPF, εκτός από άλλα σενάρια επίθεσης που θα μπορούσαν να διαρρεύσουν το Τα περιεχόμενα της μνήμης του πυρήνα δεν αποκλείονται.

Τελικά αν σας ενδιαφέρει να μάθετε λίγα περισσότερα για αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.