Peneliti dari Vrije Universiteit Amsterdam diberitahukan, melalui sebuah posting blog, untuk "Pelatihan Solo, keluarga baru serangan Spectre-v2 yang mengeksploitasi kelemahan dalam prediksi spekulatif untuk mendobrak batasan keamanan antara ruang eksekusi istimewa dan tak istimewa, yang secara langsung memengaruhi CPU Intel.
Teknik-teknik baru izinkan konten sensitif diekstraksi dari kernel atau hypervisor dengan kecepatan hingga 17 KB per detik, bahkan pada sistem yang menerapkan mitigasi modern seperti IBPB, eIBRS, atau BHI_NO.
Pelatihan Solo, wajah baru Spectre-v2 muncul kembali dengan kekuatan
Sejak ditemukannya, Spectre-v2 telah menjadi salah satu kelas kerentanan yang paling sulit untuk dimitigasi karena sifat spekulatifnya dan "Pelatihan Solo», sekali lagi masalah krusial diperkenalkan, karena tidak memerlukan kode yang dikendalikan penyerang untuk memengaruhi prediktor cabang, tetapi bergantung pada fragmen kode yang ada (gadget) dalam kernel atau hypervisor untuk melatih prediktor dari ruang pengguna.
Pekerjaan kami menunjukkan bahwa penyerang dapat secara spekulatif membajak aliran kontrol dalam domain yang sama (misalnya, kernel) dan membocorkan rahasia melintasi batas hak istimewa, menghidupkan kembali skenario Spectre-v2 klasik tanpa bergantung pada kotak pasir yang kuat seperti eBPF. Kami membuat set pengujian baru untuk menganalisis prediktor cabang dalam skenario pelatihan mandiri.
Penyelidik telah menunjukkan bahwa dengan memanipulasi gadget ini (misalnya memanfaatkan filter SECCOMP berbasis cBPF) eksekusi spekulatif dapat diinduksi yang membocorkan data dari sistem istimewa.
Melalui teknik ini, yang disebut "pelatihan individu", sejarah peramal dapat diubah dari garpu sehingga lompatan yang salah terjadi selama eksekusi spekulatif, dengan tujuan membocorkan konten memori melalui efek samping dalam cache.
Los Pelatihan Serangan Solo hadir dalam tiga varian, masing-masing memanfaatkan kelemahan yang berbeda:
- Memanipulasi riwayat cabang dengan gadget kernel: Memanfaatkan panggilan sistem seperti SECCOMP, di mana filter dapat menyebabkan cabang spekulatif palsu, membocorkan memori pada kecepatan 1,7 KB/s pada CPU Intel Tiger Lake dan Lion Cove.
- Tabrakan penunjuk instruksi (IP) di buffer prediksi cabang (BTB): Di sini, dua cabang tidak langsung yang berbeda dapat memengaruhi satu sama lain jika alamatnya bertabrakan dalam buffer, yang memungkinkan tujuan spekulatif salah diprediksi.
- Pengaruh antara cabang langsung dan tidak langsung: Teknik ini, berdasarkan dua kerentanan spesifik (CVE-2024-28956 (ITS) dan CVE-2025-24495), mengeksploitasi bagaimana cabang langsung dapat memengaruhi prediksi cabang tidak langsung. Dengan menggunakan pendekatan ini, hash kata sandi root dipulihkan setelah menjalankan passwd -s hanya dalam 60 detik.
Pekerjaan kami berfokus pada pemecahan isolasi domain berdasarkan desain melalui serangan pelatihan mandiri. Namun, masalah perangkat keras yang terdeteksi dalam set pengujian kami juga memengaruhi penerapan isolasi, karena diasumsikan bahwa cabang langsung tidak akan digunakan untuk melatih cabang tidak langsung.
Dampak dan cakupan kerentanan baru
Serangan mempengaruhi berbagai macam CPU Intel, termasuk lini populer seperti Coffee Lake, Tiger Lake, Ice Lake, dan Rocket Lake, serta server Xeon generasi ke-2 dan ke-3. Selain itu, arsitektur Lunar Lake dan Arrow Lake juga rentan berdasarkan CVE-2025-24495.
Untuk mengurangi serangan ini, Intel telah merilis pembaruan mikrokode yang memperkenalkan instruksi baru: IBHF (Indirect Branch History Fence), yang dirancang untuk mencegah kontaminasi riwayat cabang. Perubahan ini harus diimplementasikan secara eksplisit setelah kode apa pun yang memengaruhi prediktor cabang. Untuk CPU lama, direkomendasikan untuk menggunakan solusi perangkat lunak yang menghapus riwayat secara manual.
Sementara itu, pengembang kernel Linux sudah mulai mengintegrasikan patch untuk melawan teknik-teknik ini, termasuk tindakan yang merelokasi lompatan tidak langsung keluar dari area cache sensitif dan perlindungan terhadap cBPF.
AMD, pada bagiannya, telah mengkonfirmasi bahwa Teknik-teknik berikut ini tidak mempengaruhi prosesor Anda. ARM mengindikasikan bahwa hanya chip lamanya, tanpa dukungan untuk ekstensi FEAT_CSV2_3 dan FEAT_CLRBHB, yang akan diekspos.
Akhirnya, jika Anda tertarik untuk mengetahui lebih banyak tentangnya, Anda dapat berkonsultasi dengan detailnya Di tautan berikut.