Ερευνητές στο Ελεύθερο Πανεπιστήμιο του Άμστερνταμ γίνονται γνωστά πρόσφατα βρήκε ένα νέα ευπάθεια που είναι μια εκτεταμένη έκδοση της ευπάθειας Spectre-v2 σε επεξεργαστές Intel και ARM.
Αυτή η νέα ευπάθεια, στην οποία έχουν βαφτίσει ως BHI (Branch History Injection, CVE-2022-0001), BHB (Branch History Buffer, CVE-2022-0002) και Spectre-BHB (CVE-2022-23960), χαρακτηρίζεται από το ότι επιτρέπει την παράκαμψη των μηχανισμών προστασίας eIBRS και CSV2 που προστέθηκαν στους επεξεργαστές.
Η ευπάθεια περιγράφεται σε διαφορετικές εκδηλώσεις του ίδιου ζητήματος, καθώς το BHI είναι μια επίθεση που επηρεάζει διαφορετικά επίπεδα προνομίων, για παράδειγμα, μια διαδικασία χρήστη και τον πυρήνα, ενώ το BHB είναι μια επίθεση στο ίδιο επίπεδο προνομίων, για παράδειγμα, eBPF JIT και τον πυρήνα.
Σχετικά με την ευπάθεια
Εννοιολογικά, Το BHI είναι μια εκτεταμένη παραλλαγή της επίθεσης Spectre-v2, για την παράκαμψη πρόσθετης προστασίας (Intel eIBRS και Arm CSV2) και την ενορχήστρωση της διαρροής δεδομένων, την αντικατάσταση των τιμών στο buffer με ένα παγκόσμιο ιστορικό διακλάδωσης (Branch History Buffer), το οποίο χρησιμοποιείται στην CPU για τη βελτίωση της ακρίβειας πρόβλεψης κλάδου λαμβάνοντας υπόψη την ιστορία των περασμένων μεταβάσεων.
Στην πορεία μιας επίθεσης μέσα από χειρισμούς με την ιστορία των μεταβάσεων, δημιουργούνται συνθήκες για την εσφαλμένη πρόβλεψη της μετάβασης και την κερδοσκοπική εκτέλεση των απαραίτητων οδηγιών, το αποτέλεσμα των οποίων κατατίθεται στην κρυφή μνήμη.
Με εξαίρεση τη χρήση μιας προσωρινής μνήμης ιστορικού έκδοσης αντί για μια προσωρινή μνήμη στόχο έκδοσης, η νέα επίθεση είναι πανομοιότυπη με το Spectre-v2. Το καθήκον του εισβολέα είναι να δημιουργήσει τέτοιες συνθήκες ώστε η διεύθυνση, κατά την εκτέλεση μιας κερδοσκοπικής πράξης, λαμβάνεται από την περιοχή των δεδομένων που προσδιορίζονται.
Μετά την εκτέλεση ενός κερδοσκοπικού έμμεσου άλματος, η διεύθυνση μεταπήδησης που διαβάζεται από τη μνήμη παραμένει στη μνήμη cache, μετά την οποία μπορεί να χρησιμοποιηθεί μία από τις μεθόδους για τον προσδιορισμό των περιεχομένων της κρυφής μνήμης για την ανάκτησή της με βάση μια ανάλυση της αλλαγής του χρόνου πρόσβασης στην κρυφή μνήμη και χωρίς προσωρινή αποθήκευση. δεδομένα.
Οι ερευνητές έχουν επιδείξει μια λειτουργική εκμετάλλευση που επιτρέπει στο χώρο του χρήστη να εξάγει αυθαίρετα δεδομένα από τη μνήμη του πυρήνα.
Για παράδειγμα, δείχνει πώς, χρησιμοποιώντας το προετοιμασμένο exploit, είναι δυνατό να εξαγάγετε από τα buffer του πυρήνα μια συμβολοσειρά με έναν κατακερματισμό του κωδικού πρόσβασης του χρήστη root, που έχει φορτωθεί από το αρχείο /etc/shadow.
Το exploit δείχνει τη δυνατότητα εκμετάλλευσης της ευπάθειας σε ένα μόνο επίπεδο προνομίου (επιθέσεις από πυρήνα σε πυρήνα) χρησιμοποιώντας ένα πρόγραμμα eBPF που φορτώνεται από τον χρήστη. Δεν αποκλείεται επίσης η δυνατότητα χρήσης υπαρχόντων Spectre gadget στον κώδικα του πυρήνα, σενάρια που οδηγούν στην κερδοσκοπική εκτέλεση εντολών.
Τρωτό εμφανίζεται στους περισσότερους τρέχοντες επεξεργαστές Intel, με εξαίρεση την οικογένεια επεξεργαστών Atom και σε αρκετούς από τους επεξεργαστές ARM.
Σύμφωνα με έρευνα, η ευπάθεια δεν εκδηλώνεται στους επεξεργαστές AMD. Για την επίλυση του προβλήματος, έχουν προταθεί διάφορες μέθοδοι. λογισμικό για τον αποκλεισμό της ευπάθειας, το οποίο μπορεί να χρησιμοποιηθεί πριν από την εμφάνιση προστασίας υλικού σε μελλοντικά μοντέλα CPU.
Για να αποκλείσετε επιθέσεις μέσω του υποσυστήματος eBPF, sΣυνιστάται να απενεργοποιήσετε από προεπιλογή τη δυνατότητα φόρτωσης προγραμμάτων eBPF από μη προνομιούχους χρήστες γράφοντας το 1 στο αρχείο “/proc/sys/kernel/unprivileged_bpf_disabled” ή εκτελώντας την εντολή “sysctl -w kernel .unprivileged_bpf_disabled=1”.
Για να αποκλείσετε επιθέσεις μέσω gadget, Συνιστάται η χρήση της οδηγίας LFENCE σε τμήματα κώδικα που δυνητικά οδηγούν σε κερδοσκοπική εκτέλεση. Αξίζει να σημειωθεί ότι η προεπιλεγμένη ρύθμιση παραμέτρων των περισσότερων διανομών Linux περιέχει ήδη τα απαραίτητα μέτρα προστασίας που είναι επαρκή για να μπλοκάρουν την επίθεση eBPF που έδειξαν οι ερευνητές.
Οι συστάσεις της Intel για την απενεργοποίηση της μη προνομιακής πρόσβασης στο eBPF ισχύουν επίσης από προεπιλογή ξεκινώντας με τον πυρήνα Linux 5.16 και θα μεταφερθούν σε προηγούμενα υποκαταστήματα.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στο παρακάτω σύνδεσμο.