Vrije ülikooli teadlased Amsterdam teatavaks tehtud, ajaveebipostituse kaudu, et "Treening Solo, uus Spectre-v2 rünnakute perekond mis kasutavad ära spekulatiivse ennustuse vigu, et murda privilegeeritud ja mitteprivilegeeritud täitmisruumide vahelisi turvapiire, mõjutades otseselt Inteli protsessoreid.
Uued tehnikad lubada kernelist tundlikku sisu eraldada või hüperviisorit kiirusega kuni 17 KB sekundis, isegi süsteemides, mis rakendavad kaasaegseid leevendusi, näiteks IBPB, eIBRS või BHI_NO.
Treening Solo, Spectre-v2 uus nägu, ilmub taas jõuliselt esile
Pärast avastamist on Spectre-v2 olnud oma spekulatiivse olemuse ja "... tõttu üks keerulisemaid haavatavuste klasse, mida leevendada".„Üksinda treenimine“ toob taas esile olulise probleemi, kuna see ei nõua haru ennustaja mõjutamiseks ründaja poolt kontrollitavat koodi, vaid tugineb ennustaja kasutajaruumist treenimiseks kernelis või hüperviisoris olemasolevatele koodifragmentidele (vidinatele).
Meie töö näitab, et ründajad saavad spekulatiivselt kaaperdada juhtimisvoogu samas domeenis (nt kernel) ja lekitada saladusi üle privileegide piiride, taaselustades klassikalisi Spectre-v2 stsenaariume ilma võimsatele liivakastidele nagu eBPF toetumata. Lõime uue testikomplekti hargnemise ennustaja analüüsimiseks iseõppimise stsenaariumis.
Teadlased on näidanud, et nende vidinatega manipuleerides (nt cBPF-põhiste SECCOMP-filtrite kasutamine) spekulatiivset teostust saab esile kutsuda mis lekib privilegeeritud süsteemist andmeid.
Selle tehnika abil, mida nimetatakse "individuaalkoolituseks", ennustaja ajalugu saab muuta kahvlitest nii et spekulatiivse täitmise ajal tekivad valed hüpped, eesmärgiga lekkida mälu sisu vahemälu kõrvalmõjude kaudu.
osa Soolorünnakute treenimine toimub kolmes variandis., igaüks neist kasutab ära erinevaid nõrkusi:
- Haru ajaloo manipuleerimine kerneli vidinategaKasutab ära süsteemikõnesid nagu SECCOMP, kus filtrid võivad esile kutsuda võltsitud spekulatiivseid harusid, lekkides mälu kiirusega 1,7 KB/s Intel Tiger Lake'i ja Lion Cove'i protsessorites.
- Käsuviidete (IP) kokkupõrked hargnemisennustuspuhvris (BTB): Siin saavad kaks erinevat kaudset haru teineteist mõjutada, kui nende aadressid puhvris kokku põrkuvad, võimaldades spekulatiivsete sihtkohtade valesti ennustamist.
- Otseste ja kaudsete harude vahelised mõjud: See tehnika, mis põhineb kahel spetsiifilisel haavatavusel (CVE-2024-28956 (ITS) ja CVE-2025-24495), kasutab ära seda, kuidas otsesed harud võivad mõjutada kaudsete harude ennustamist. Selle lähenemisviisi abil taastati root parooli räsi pärast passwd -s käivitamist kõigest 60 sekundiga.
Meie töö keskendub domeeni isolatsiooni murdmisele disaini abil iseõppivate rünnakute abil. Meie testikomplektis tuvastatud riistvaraprobleemid mõjutavad aga ka isolatsiooni rakendamist, kuna eeldati, et otseseid harusid kaudsete harude treenimiseks ei kasutata.
Uute haavatavuste mõju ja ulatus
Rünnakud mõjutab laia valikut Inteli protsessoreid, sealhulgas populaarsed tootesarjad nagu Coffee Lake, Tiger Lake, Ice Lake ja Rocket Lake, aga ka 2. ja 3. põlvkonna Xeoni serverid. Lisaks on Lunar Lake'i ja Arrow Lake'i arhitektuurid haavatavad ka CVE-2025-24495 tõttu.
Nende rünnakute leevendamiseks, Intel on välja andnud mikrokoodi värskenduse mis tutvustab uut juhist: IBHF (Indirect Branch History Fence), mis on loodud haru ajaloo saastumise vältimiseks. See muudatus tuleb rakendada selgesõnaliselt pärast mis tahes koodi, mis mõjutab haru ennustajat. Vanemate protsessorite puhul on soovitatav kasutada tarkvaralahendusi, mis kustutavad ajaloo käsitsi.
Omalt poolt kerneli arendajad Linux on juba hakanud nende tehnikate vastu võitlemiseks paiku integreerima, sealhulgas meetmed, mis suunavad kaudsed hüpped tundlikest vahemälu piirkondadest välja ja kaitsevad cBPF-i eest.
AMD on omalt poolt kinnitanud, et Need tehnikad ei mõjuta teie protsessoreid. ARM teatas, et avalikuks tehakse ainult tema vanemad kiibid, mis ei toeta FEAT_CSV2_3 ja FEAT_CLRBHB laiendusi.
Lõpuks, kui olete huvitatud selle kohta rohkem teada saama, võite tutvuda üksikasjadega Järgmisel lingil.