Istraživači sa Vrije Universiteit Amsterdam obznanio, putem objave na blogu, do "Training Solo, nova obitelj Spectre-v2 napada koji iskorištavaju nedostatke u spekulativnom predviđanju kako bi probili sigurnosne granice između privilegiranih i neprivilegiranih prostora za izvršavanje, izravno utječući na Intelove procesore.
Nove tehnike dopustiti izdvajanje osjetljivog sadržaja iz jezgre ili hipervizor brzinama do 17 KB u sekundi, čak i na sustavima koji implementiraju moderne mjere ublažavanja kao što su IBPB, eIBRS ili BHI_NO.
Trening Solo, novo lice Spectre-v2 ponovno se pojavljuje s punom snagom
Od svog otkrića, Spectre-v2 je jedna od najtežih klasa ranjivosti za ublažavanje zbog svoje spekulativne prirode i "Solo trening«, ponovno se uvodi ključni problem, budući da ne zahtijeva nikakav kod kojim upravlja napadač da bi utjecao na prediktor grananja, već se oslanja na postojeće fragmente koda (gadgete) unutar jezgre ili hipervizora za treniranje prediktora iz korisničkog prostora.
Naš rad pokazuje da napadači mogu spekulativno oteti tok kontrole unutar iste domene (npr. kernela) i procuriti tajne preko granica privilegija, oživljavajući klasične Spectre-v2 scenarije bez oslanjanja na moćne sandboxove poput eBPF-a. Izradili smo novi skup testova za analizu prediktora grananja u scenariju samoobuke.
Istraživači pokazali su da manipuliranjem ovim napravama (npr. korištenje SECCOMP filtera temeljenih na cBPF-u) može se izazvati spekulativno izvršenje koji curi podatke iz privilegiranog sustava.
Kroz ovu tehniku, nazvanu "individualni trening", povijest prediktora može se promijeniti vilica tako da se tijekom spekulativnog izvršenja događaju netočni skokovi, s ciljem curenja memorijskog sadržaja kroz nuspojave u predmemoriji.
The Solo napadi za trening dolaze u tri varijante, pri čemu svaki iskorištava različite slabosti:
- Manipuliranje povijesti grananja pomoću kernel gadgetaIskorištava sistemske pozive poput SECCOMP-a, gdje filteri mogu izazvati lažne spekulativne grane, cureći memoriju brzinom od 1,7 KB/s na Intel Tiger Lake i Lion Cove procesorima.
- Kolizije pokazivača instrukcija (IP) u međuspremniku za predviđanje grananja (BTB): Ovdje dvije različite indirektne grane mogu utjecati jedna na drugu ako se njihove adrese sudaraju u međuspremniku, što omogućuje pogrešno predviđanje spekulativnih odredišta.
- Utjecaji između izravnih i neizravnih grana: Ova tehnika, temeljena na dvije specifične ranjivosti (CVE-2024-28956 (ITS) i CVE-2025-24495), iskorištava kako izravne grananja mogu utjecati na predviđanje neizravnih grananja. Korištenjem ovog pristupa, hash root lozinke je vraćen nakon pokretanja passwd -s za samo 60 sekundi.
Naš rad se fokusira na razbijanje izolacije domene po dizajnu putem napada samoobučavanjem. Međutim, hardverski problemi otkriveni u našem testnom skupu također utječu na implementaciju izolacije, budući da se pretpostavljalo da se izravne grane neće koristiti za treniranje neizravnih grana.
Utjecaj i opseg novih ranjivosti
Napadi utječu na širok raspon Intelovih procesora, uključujući popularne linije kao što su Coffee Lake, Tiger Lake, Ice Lake i Rocket Lake, kao i Xeon servere druge i treće generacije. Osim toga, arhitekture Lunar Lake i Arrow Lake također su ranjive prema CVE-2-3.
Kako bi se ublažili ovi napadi, Intel je objavio ažuriranje mikrokoda koja uvodi novu instrukciju: IBHF (Indirect Branch History Fence), osmišljenu za sprječavanje kontaminacije povijesti grananja. Ova promjena mora se eksplicitno implementirati nakon bilo kojeg koda koji utječe na prediktor grananja. Za starije CPU-e preporučuje se korištenje softverskih rješenja koja ručno brišu povijest.
Sa svoje strane, programeri kernela Linux je već počeo integrirati zakrpe kako bi se suprotstavio tim tehnikama., uključujući mjere koje premještaju indirektne skokove izvan osjetljivih područja predmemorije i zaštitu od cBPF-a.
AMD je, sa svoje strane, potvrdio da Ove tehnike ne utječu na vaše procesore. ARM je naznačio da će biti izloženi samo njegovi stariji čipovi, bez podrške za ekstenzije FEAT_CSV2_3 i FEAT_CLRBHB.
Konačno, ako ste zainteresirani za više informacija o tome, možete pogledati detalje U sljedećem linku.