A Vrije Universiteit kutatói Amszterdam ismertté tettékegy blogbejegyzésen keresztül, hogy "A Solo, a Spectre-v2 támadások új családjának betanítása amelyek a spekulatív predikció hibáit kihasználva áttörik a privilegizált és nem privilegizált végrehajtási terek közötti biztonsági határokat, közvetlenül befolyásolva az Intel processzorokat.
Az új technikák engedélyezze az érzékeny tartalom kinyerését a kernelből vagy a hipervizor akár 17 KB/s sebességgel, még olyan rendszereken is, amelyek modern kockázatcsökkentő megoldásokat, például IBPB-t, eIBRS-t vagy BHI_NO-t alkalmaznak.
A Training Solo, a Spectre-v2 új arca újra erővel jelenik meg
Felfedezése óta a Spectre-v2 a legnehezebben kezelhető sebezhetőségi osztályok közé tartozik spekulatív jellege és a „…„Egyedülálló edzés” – ismét egy fontos probléma merül fel, mivel nem igényel támadó által vezérelt kódot az elágazás-prediktor befolyásolásához, ehelyett a kernelben vagy a hipervizorban lévő meglévő kódrészletekre (kütyükre) támaszkodik a prediktor felhasználói térből történő betanításához.
Munkánk azt mutatja, hogy a támadók spekulatív módon eltéríthetik a vezérlési folyamatot ugyanazon a tartományon (pl. a kernelen) belül, és kiszivárogtathatnak titkokat a jogosultsági határokon át, újraélesztve a klasszikus Spectre-v2 forgatókönyveket anélkül, hogy olyan hatékony tesztkörnyezetekre, mint az eBPF, támaszkodnának. Létrehoztunk egy új teszthalmazt az elágazás-prediktor elemzéséhez egy önképzési forgatókönyvben.
A kutatók kimutatták, hogy ezen kütyük manipulálásával (pl. cBPF-alapú SECCOMP szűrők kihasználása) spekulatív végrehajtás indukálható ami adatokat szivárogtat a privilegizált rendszerből.
Ezzel a technikával, amit „egyéni képzésnek” neveznek, a prediktor története megváltoztatható villákból hogy a spekulatív végrehajtás során helytelen ugrások történjenek, azzal a céllal, hogy a memória tartalmát a gyorsítótár mellékhatásai révén szivárogtassa ki.
sok A szóló támadások három változatban készülnek, mindegyik más-más gyengeséget használ ki:
- Ágtörténet kezelése kernel modulokkalOlyan rendszerhívásokat használ ki, mint a SECCOMP, ahol a szűrők hamis spekulatív elágazásokat indukálhatnak, 1,7 KB/s sebességgel memória-szivárgást okozva Intel Tiger Lake és Lion Cove CPU-kon.
- Utasításmutató (IP) ütközések az elágazás-előrejelző pufferben (BTB): Itt két különböző közvetett ág befolyásolhatja egymást, ha címeik ütköznek a pufferben, lehetővé téve a spekulatív célállomások téves előrejelzését.
- Közvetlen és közvetett ágak közötti hatások: Ez a technika, amely két konkrét sebezhetőségen (CVE-2024-28956 (ITS) és CVE-2025-24495) alapul, azt a képességet használja ki, hogy a közvetlen elágazások hogyan befolyásolhatják a közvetett elágazások előrejelzését. Ezzel a megközelítéssel a passwd -s parancs futtatása után a root jelszó hash-ét mindössze 60 másodperc alatt sikerült helyreállítani.
Munkánk a domain izoláció tervezésen alapuló, önképző támadásokon keresztüli feltörésére összpontosít. A tesztkészletünkben észlelt hardverproblémák azonban az izoláció megvalósítását is befolyásolják, mivel feltételeztük, hogy a közvetlen ágakat nem fogják használni a közvetett ágak betanításához.
Az új sebezhetőségek hatása és mértéke
A támadások az Intel processzorok széles skáláját érinti, beleértve olyan népszerű termékcsaládokat, mint a Coffee Lake, a Tiger Lake, az Ice Lake és a Rocket Lake, valamint a 2. és 3. generációs Xeon szervereket. Ezenkívül a Lunar Lake és az Arrow Lake architektúrák is sebezhetőek a CVE-2025-24495 szankció értelmében.
Ezen támadások enyhítésére, Az Intel kiadott egy mikrokód-frissítést amely egy új utasítást vezet be: az IBHF-et (Indirect Branch History Fence), amelynek célja az ágtörténeti szennyeződés megakadályozása. Ezt a módosítást explicit módon kell megvalósítani minden olyan kód után, amely hatással van az elágazás-prediktorra. Régebbi CPU-k esetén olyan szoftveres megoldások használatát javasolták, amelyek manuálisan törlik az előzményeket.
A kernel fejlesztői a maguk részéről A Linux már elkezdte integrálni a javításokat ezen technikák ellensúlyozására., beleértve a közvetett ugrások érzékeny gyorsítótár-területekről való áthelyezését és a cBPF elleni védelmet.
Az AMD a maga részéről megerősítette, hogy Ezek a technikák ne befolyásolja a processzorokat. Az ARM jelezte, hogy csak a régebbi, a FEAT_CSV2_3 és a FEAT_CLRBHB kiterjesztések támogatása nélküli chipjei lesznek kitéve a biztonsági résnek.
Végül, ha többet szeretne tudni róla, tájékozódhat a részletekről A következő linken.