Training Solo: Ένα θέμα ευπάθειας Spectre-v2 που επηρεάζει τους επεξεργαστές της Intel

David Y. Naranjo

4 λεπτά

ευπάθεια

Ερευνητές από το Vrije Universiteit Άμστερνταμ γίνονται γνωστά, μέσω μιας ανάρτησης ιστολογίου, στο "Training Solo, μια νέα οικογένεια επιθέσεων Spectre-v2 που εκμεταλλεύονται ελαττώματα στην εικοτολογική πρόβλεψη για να σπάσουν τα όρια ασφαλείας μεταξύ προνομιούχων και μη προνομιούχων χώρων εκτέλεσης, επηρεάζοντας άμεσα τις CPU της Intel.

Οι νέες τεχνικές επιτρέπουν την εξαγωγή ευαίσθητου περιεχομένου από τον πυρήνα ή τον υπερεπόπτη σε ταχύτητες έως και 17 KB ανά δευτερόλεπτο, ακόμη και σε συστήματα που εφαρμόζουν σύγχρονα μετριασμούς όπως IBPB, eIBRS ή BHI_NO.

Training Solo, το νέο πρόσωπο του Spectre-v2 επανεμφανίζεται δυναμικά

Από την ανακάλυψή του, το Spectre-v2 αποτελεί μια από τις πιο δύσκολες κατηγορίες ευπαθειών για μετριασμό λόγω της κερδοσκοπικής του φύσης και...«Training Solo», παρουσιάζεται και πάλι ένα κρίσιμο πρόβλημα, καθώς δεν απαιτεί κώδικα που ελέγχεται από εισβολέα για να επηρεάσει τον προγνωστικό παράγοντα διακλάδωσης, αλλά αντ' αυτού βασίζεται σε υπάρχοντα τμήματα κώδικα (gadgets) εντός του πυρήνα ή του υπερεπόπτη για να εκπαιδεύσει τον προγνωστικό παράγοντα από τον χώρο χρήστη.

Η εργασία μας καταδεικνύει ότι οι εισβολείς μπορούν να υπονομεύσουν τη ροή ελέγχου εντός του ίδιου τομέα (π.χ., τον πυρήνα) και να διαρρεύσουν μυστικά πέρα ​​από τα όρια δικαιωμάτων, αναβιώνοντας κλασικά σενάρια Spectre-v2 χωρίς να βασίζονται σε ισχυρά sandboxes όπως το eBPF. Δημιουργήσαμε ένα νέο σύνολο δοκιμών για να αναλύσουμε τον προγνωστικό παράγοντα διακλάδωσης σε ένα σενάριο αυτοεκπαίδευσης.

Οι ερευνητές έχουν δείξει ότι χειριζόμενοι αυτά τα gadgets (π.χ. αξιοποίηση φίλτρων SECCOMP που βασίζονται σε cBPF) η κερδοσκοπική εκτέλεση μπορεί να προκληθεί που διαρρέει δεδομένα από το προνομιακό σύστημα.

Μέσω αυτής της τεχνικής, που ονομάζεται «ατομική εκπαίδευση», το ιστορικό του προγνωστικού παράγοντα μπορεί να τροποποιηθεί των πιρουνιών έτσι ώστε να συμβαίνουν λανθασμένα άλματα κατά την εκτέλεση εικασιών, με στόχο τη διαρροή περιεχομένου μνήμης μέσω παρενεργειών στην προσωρινή μνήμη.

Ο Οι επιθέσεις εκπαίδευσης Solo διατίθενται σε τρεις παραλλαγές., το καθένα εκμεταλλευόμενο διαφορετικές αδυναμίες:

  1.  Χειρισμός ιστορικού υποκαταστημάτων με μικροεφαρμογές πυρήναΕκμεταλλεύεται κλήσεις συστήματος όπως το SECCOMP, όπου τα φίλτρα μπορούν να προκαλέσουν ψευδείς υποθετικούς κλάδους, διαρροή μνήμης με ρυθμούς 1,7 KB/s σε CPU Intel Tiger Lake και Lion Cove.
  2.  Συγκρούσεις δεικτών εντολών (IP) στο buffer πρόβλεψης διακλάδωσης (BTB): Εδώ, δύο διαφορετικοί έμμεσοι κλάδοι μπορούν να επηρεάσουν ο ένας τον άλλον εάν οι διευθύνσεις τους συγκρούονται στο buffer, επιτρέποντας την εσφαλμένη πρόβλεψη υποθετικών προορισμών.
  3.  Επιρροές μεταξύ άμεσων και έμμεσων κλάδων: Αυτή η τεχνική, που βασίζεται σε δύο συγκεκριμένες ευπάθειες (CVE-2024-28956 (ITS) και CVE-2025-24495), εκμεταλλεύεται τον τρόπο με τον οποίο οι άμεσοι κλάδοι μπορούν να επηρεάσουν την πρόβλεψη των έμμεσων κλάδων. Χρησιμοποιώντας αυτήν την προσέγγιση, το hash του κωδικού πρόσβασης root ανακτήθηκε μετά την εκτέλεση της εντολής passwd -s σε μόλις 60 δευτερόλεπτα.

Η εργασία μας επικεντρώνεται στην άρση της απομόνωσης τομέα εκ σχεδιασμού μέσω επιθέσεων αυτοεκπαίδευσης. Ωστόσο, τα προβλήματα υλικού που εντοπίστηκαν στο σύνολο δοκιμών μας επηρεάζουν επίσης την εφαρμογή της απομόνωσης, καθώς θεωρήθηκε ότι οι άμεσοι κλάδοι δεν θα χρησιμοποιούνταν για την εκπαίδευση έμμεσων κλάδων. 

Επιπτώσεις και εύρος νέων τρωτών σημείων

Οι επιθέσεις επηρεάζουν ένα ευρύ φάσμα επεξεργαστών Intel, συμπεριλαμβανομένων δημοφιλών σειρών όπως οι Coffee Lake, Tiger Lake, Ice Lake και Rocket Lake, καθώς και διακομιστές Xeon 2ης και 3ης γενιάς. Επιπλέον, οι αρχιτεκτονικές Lunar Lake και Arrow Lake είναι επίσης ευάλωτες στο CVE-2025-24495.

Για να μετριαστούν αυτές οι επιθέσεις, Η Intel κυκλοφόρησε μια ενημέρωση μικροκώδικα η οποία εισάγει μια νέα οδηγία: IBHF (Έμμεσος Φράχτης Ιστορικού Κλαδιών), σχεδιασμένος για την αποτροπή μόλυνσης του ιστορικού κλαδιών. Αυτή η αλλαγή πρέπει να υλοποιηθεί ρητά μετά από οποιονδήποτε κώδικα που επηρεάζει την προγνωστική διακλάδωσης. Για παλαιότερες CPU, συνιστάται η χρήση λύσεων λογισμικού που διαγράφουν χειροκίνητα το ιστορικό.

Από την πλευρά τους, οι προγραμματιστές του πυρήνα του Το Linux έχει ήδη αρχίσει να ενσωματώνει ενημερώσεις κώδικα (patches) για την αντιμετώπιση αυτών των τεχνικών., συμπεριλαμβανομένων μέτρων που μεταφέρουν έμμεσα άλματα εκτός ευαίσθητων περιοχών προσωρινής μνήμης και προστασία από cBPF.

Η AMD, από την πλευρά της, επιβεβαίωσε ότι Αυτές οι τεχνικές δεν επηρεάζουν τους επεξεργαστές σας. Η ARM υπέδειξε ότι μόνο τα παλαιότερα τσιπ της, χωρίς υποστήριξη για τις επεκτάσεις FEAT_CSV2_3 και FEAT_CLRBHB, θα ήταν εκτεθειμένα.

Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.