Vrije-yliopiston tutkijat Amsterdam teki tunnetuksiblogikirjoituksen kautta kohteeseen "Solon, uuden Spectre-v2-hyökkäysperheen, harjoitus jotka hyödyntävät spekulatiivisen ennustamisen puutteita murtaakseen etuoikeutettujen ja etuoikeuttamattomien suoritusalueiden välisiä turvallisuusrajoja ja vaikuttavat suoraan Intelin suorittimiin.
Uudet tekniikat salli arkaluonteisen sisällön poimiminen ytimestä tai hypervisoria jopa 17 kt sekunnissa nopeudella, jopa järjestelmissä, jotka käyttävät moderneja lievennysratkaisuja, kuten IBPB, eIBRS tai BHI_NO.
Training Solo, Spectre-v2:n uusi kasvo, palaa voimalla
Löytämisestään lähtien Spectre-v2 on ollut yksi vaikeimmin lievennettävistä haavoittuvuuksista spekulatiivisen luonteensa vuoksi.Yksinharjoittelu», jälleen kerran esitellään ratkaiseva ongelma, koska se ei vaadi hyökkääjän ohjaamaa koodia haarautumisennusteeseen vaikuttamiseksi, vaan se luottaa olemassa oleviin koodinpätkiin (gadgetteihin) ytimen tai hypervisorin sisällä kouluttaakseen ennustajan käyttäjätilasta.
Työmme osoittaa, että hyökkääjät voivat spekulatiivisesti kaapata ohjausvirran saman toimialueen sisällä (esim. ytimessä) ja vuotaa salaisuuksia käyttöoikeusrajojen yli, elvyttäen klassisia Spectre-v2-skenaarioita ilman, että he turvautuvat tehokkaisiin hiekkalaatikoihin, kuten eBPF:ään. Loimme uuden testijoukon analysoidaksemme haarautumisen ennustajaa itseopiskelutilanteessa.
Tutkijat ovat osoittaneet, että manipuloimalla näitä laitteita (esim. hyödyntämällä cBPF-pohjaisia SECCOMP-suodattimia) spekulatiivinen toteutus voi olla indusoitu joka vuotaa tietoja etuoikeutetusta järjestelmästä.
Tämän yksilövalmennukseksi kutsutun tekniikan avulla ennustajan historiaa voidaan muuttaa haarukoista jotta spekulatiivisen suorituksen aikana tapahtuu virheellisiä hyppyjä, tavoitteenaan vuotaa muistin sisältöä välimuistin sivuvaikutusten kautta.
Los Yksinhyökkäysten harjoittelu on saatavilla kolmessa eri variantissa, kukin hyödyntäen eri heikkouksia:
- Haarahistorian käsittely ytimen gadgetien avullaHyödyntää järjestelmäkutsuja, kuten SECCOMP, joissa suodattimet voivat aiheuttaa vääriä spekulatiivisia haaroja ja vuotaa muistia 1,7 kt/s nopeudella Intel Tiger Lake- ja Lion Cove -suorittimissa.
- Ohjeosoittimen (IP) törmäykset haaran ennustuspuskurissa (BTB): Tässä kaksi eri epäsuoraa haaraa voivat vaikuttaa toisiinsa, jos niiden osoitteet törmäävät puskurissa, mikä mahdollistaa spekulatiivisten kohteiden virheellisen ennustamisen.
- Vaikutukset suorien ja epäsuorien haarojen välillä: Tämä tekniikka, joka perustuu kahteen tiettyyn haavoittuvuuteen (CVE-2024-28956 (ITS) ja CVE-2025-24495), hyödyntää sitä, miten suorat haarat voivat vaikuttaa epäsuorien haaraumien ennustamiseen. Tällä lähestymistavalla pääkäyttäjän salasanan tiiviste (hash) palautettiin passwd -s-komennon suorittamisen jälkeen vain 60 sekunnissa.
Työmme keskittyy verkkotunnusten eristämisen murtamiseen suunnittelun avulla itseoppivien hyökkäysten avulla. Testijoukossamme havaitut laitteisto-ongelmat vaikuttavat kuitenkin myös eristämisen toteutukseen, koska oletettiin, että suoria haaroja ei käytettäisi epäsuorien haarojen kouluttamiseen.
Uusien haavoittuvuuksien vaikutus ja laajuus
Hyökkäykset vaikuttavat laajaan valikoimaan Intel-suorittimia, mukaan lukien suositut tuotelinjat, kuten Coffee Lake, Tiger Lake, Ice Lake ja Rocket Lake, sekä toisen ja kolmannen sukupolven Xeon-palvelimet. Lisäksi Lunar Lake- ja Arrow Lake -arkkitehtuurit ovat haavoittuvia CVE-2-3-haittaohjelman nojalla.
Näiden hyökkäysten lieventämiseksi, Intel on julkaissut mikrokoodipäivityksen joka esittelee uuden ohjeen: IBHF (Indirect Branch History Fence), jonka tarkoituksena on estää haarahistorian kontaminaatio. Tämä muutos on toteutettava eksplisiittisesti minkä tahansa haarautumisennusteeseen vaikuttavan koodin jälkeen. Vanhemmille suorittimille on suositeltu ohjelmistoratkaisujen käyttöä, jotka tyhjentävät historian manuaalisesti.
Ytimen kehittäjät puolestaan Linux on jo alkanut integroida korjauksia näiden tekniikoiden torjumiseksi., mukaan lukien toimenpiteet, jotka siirtävät epäsuorat hypyt pois herkiltä välimuistialueilta ja suojaavat cBPF:ltä.
AMD on puolestaan vahvistanut, että Nämä tekniikat eivät vaikuta prosessoreihisi. ARM ilmoitti, että vain sen vanhemmat sirut, jotka eivät tue FEAT_CSV2_3- ja FEAT_CLRBHB-laajennuksia, paljastuisivat.
Lopuksi, jos olet kiinnostunut tietämään siitä lisää, voit tutustua yksityiskohtiin Seuraavassa linkissä.