Para peneliti di Free University of Amsterdam diberitahukan baru saja menemukan satu kerentanan baru yang merupakan versi lanjutan dari kerentanan Spectre-v2 pada prosesor Intel dan ARM.
Kerentanan baru ini, yang telah dibaptis sebagai BHI (Injeksi Sejarah Cabang, CVE-2022-0001), Bhb (Penyangga Sejarah Cabang, CVE-2022-0002) dan Spectre-BHB (CVE-2022-23960), ditandai dengan memungkinkan pengelakan mekanisme perlindungan eIBRS dan CSV2 ditambahkan ke prosesor.
Kerentanan dijelaskan dalam manifestasi berbeda dari masalah yang sama, karena BHI adalah serangan yang memengaruhi tingkat hak istimewa yang berbeda, misalnya, proses pengguna dan kernel, sedangkan BHB adalah serangan pada tingkat hak istimewa yang sama, misalnya, eBPF JIT dan inti.
Tentang kerentanan
Secara konseptual, BHI adalah varian lanjutan dari serangan Spectre-v2, di mana untuk melewati perlindungan tambahan (Intel eIBRS dan Arm CSV2) dan mengatur kebocoran data, penggantian nilai dalam buffer dengan riwayat cabang global (Branch History Buffer), yang digunakan dalam CPU untuk meningkatkan akurasi prediksi cabang dengan mempertimbangkan sejarah transisi masa lalu.
Dalam serangan melalui manipulasi dengan sejarah transisi, kondisi dibuat untuk prediksi transisi dan eksekusi spekulatif yang salah instruksi yang diperlukan, yang hasilnya disimpan dalam cache.
Dengan pengecualian menggunakan buffer riwayat versi alih-alih buffer target versi, serangan baru identik dengan Spectre-v2. Tugas penyerang adalah menciptakan kondisi sedemikian rupa sehingga alamat, saat melakukan operasi spekulatif, itu diambil dari area data yang ditentukan.
Setelah melakukan lompatan tidak langsung spekulatif, alamat lompatan yang dibaca dari memori tetap berada di cache, setelah itu salah satu metode untuk menentukan konten cache dapat digunakan untuk mengambilnya berdasarkan analisis perubahan waktu akses cache dan tidak di-cache data.
Para peneliti telah menunjukkan eksploitasi fungsional yang memungkinkan ruang pengguna untuk mengekstrak data sewenang-wenang dari memori kernel.
Sebagai contoh, ini menunjukkan bagaimana, dengan menggunakan exploit yang telah disiapkan, dimungkinkan untuk mengekstrak dari buffer kernel sebuah string dengan hash dari kata sandi pengguna root, yang diambil dari file /etc/shadow.
Eksploitasi menunjukkan kemampuan untuk mengeksploitasi kerentanan dalam satu tingkat hak istimewa (serangan kernel-ke-kernel) menggunakan program eBPF yang dimuat pengguna. Kemungkinan menggunakan gadget Spectre yang ada dalam kode kernel, skrip yang mengarah pada eksekusi instruksi yang spekulatif, juga tidak dikesampingkan.
Kerentanan muncul di sebagian besar prosesor Intel saat ini, dengan pengecualian keluarga prosesor Atom dan beberapa prosesor ARM.
Menurut penelitian, kerentanan tidak memanifestasikan dirinya pada prosesor AMD. Untuk mengatasi masalah tersebut, beberapa metode telah diusulkan. perangkat lunak untuk memblokir kerentanan, yang dapat digunakan sebelum munculnya perlindungan perangkat keras dalam model CPU masa depan.
Untuk memblokir serangan melalui subsistem eBPF, sDisarankan untuk menonaktifkan secara default kemampuan memuat program eBPF oleh pengguna unprivileged dengan menulis 1 ke file “/proc/sys/kernel/unprivileged_bpf_disabled” atau dengan menjalankan perintah “sysctl -w kernel .unprivileged_bpf_disabled=1”.
Untuk memblokir serangan melalui gadget, disarankan untuk menggunakan instruksi LFENCE di bagian kode yang berpotensi mengarah pada eksekusi spekulatif. Patut dicatat bahwa konfigurasi default sebagian besar distribusi Linux sudah berisi langkah-langkah perlindungan yang diperlukan yang cukup untuk memblokir serangan eBPF yang ditunjukkan oleh para peneliti.
Rekomendasi Intel untuk menonaktifkan akses unprivileged ke eBPF juga berlaku secara default dimulai dengan kernel Linux 5.16 dan akan di-porting ke cabang sebelumnya.
Terakhir, jika Anda tertarik untuk mengetahuinya lebih lanjut, Anda dapat berkonsultasi detailnya di link berikut.