アムステルダム自由大学の研究者 公表 最近見つけたもの Spectre-v2の脆弱性の拡張バージョンである新しい脆弱性 IntelおよびARMプロセッサ。
この新しい脆弱性、 BHIとしてバプテスマを受けました (ブランチ履歴インジェクション、CVE-2022-0001)、 BHB (ブランチ履歴バッファー、CVE-2022-0002) およびSpectre-BHB (CVE-2022-23960)は、プロセッサに追加されたeIBRSおよびCSV2保護メカニズムの回避を可能にすることを特徴としています。
BHIはユーザープロセスやカーネルなどのさまざまな特権レベルに影響を与える攻撃であり、BHBはeBPF JITやカーネル。
脆弱性について
概念的には、 BHIは、Spectre-v2攻撃の拡張バリアントです。、追加の保護(InteleIBRSおよびArmCSV2)をバイパスし、データ漏洩を調整するために、バッファー内の値をグローバル分岐履歴(分岐履歴バッファー)に置き換えます。これは、分岐予測の精度を向上させるためにCPUで使用されます過去の移行の履歴を考慮に入れることによって。
攻撃の過程で 遷移の履歴を操作することにより、 遷移と投機的実行の誤った予測のための条件が作成されます 必要な命令の結果がキャッシュに保存されます。
バージョンターゲットバッファの代わりにバージョン履歴バッファを使用することを除いて、新しい攻撃はSpectre-v2と同じです。 攻撃者のタスクは、アドレスが 投機的な操作を実行するとき、それは決定されているデータの領域から取得されます。
投機的間接ジャンプを実行した後、メモリから読み取られたジャンプアドレスはキャッシュに残ります。その後、キャッシュの内容を決定する方法のXNUMXつを使用して、キャッシュアクセス時間とキャッシュされていない時間の変化の分析に基づいてキャッシュを取得できます。データ。
研究者は、ユーザースペースがカーネルメモリから任意のデータを抽出できるようにする機能的悪用を実証しました。
たとえば、準備されたエクスプロイトを使用して、/ etc / shadowファイルからロードされたrootユーザーのパスワードのハッシュを含む文字列をカーネルバッファから抽出する方法を示します。
このエクスプロイトは、ユーザーがロードしたeBPFプログラムを使用して、単一の特権レベル(カーネルからカーネルへの攻撃)内で脆弱性を悪用する機能を示しています。 カーネルコードで既存のSpectreガジェットを使用する可能性、つまり命令の投機的実行につながるスクリプトも除外されません。
脆弱性 現在のほとんどのIntelプロセッサに表示されます。 AtomファミリのプロセッサといくつかのARMプロセッサを除きます。
調査によると、この脆弱性はAMDプロセッサには現れません。 この問題を解決するために、いくつかの方法が提案されてきた。 脆弱性をブロックするソフトウェア。将来のCPUモデルでハードウェア保護が登場する前に使用できます。
eBPFサブシステムを介した攻撃をブロックするには、eBPFプログラムをロードする機能をデフォルトで無効にすることをお勧めします 非特権ユーザーは、ファイル「/ proc / sys / kernel / unprivileged_bpf_disabled」に1を書き込むか、コマンド「sysctl -w kernel .unprivileged_bpf_disabled = 1」を実行します。
ガジェットを介した攻撃をブロックするには、 LFENCE命令を使用することをお勧めします 投機的実行につながる可能性のあるコードのセクション。 ほとんどのLinuxディストリビューションのデフォルト構成には、研究者によって実証されたeBPF攻撃をブロックするのに十分な必要な保護手段がすでに含まれていることは注目に値します。
eBPFへの非特権アクセスを無効にするというIntelの推奨事項は、Linuxカーネル5.16以降でもデフォルトで適用され、以前のブランチに移植されます。
最後に、あなたがそれについてもっと知ることができることに興味があるなら、あなたはの詳細を調べることができます 次のリンク。