Vrije Universiteit의 연구원 암스테르담 알려졌다블로그 게시물을 통해 "Training Solo, Spectre-v2 공격의 새로운 패밀리 추측적 예측의 결함을 악용하여 특권 실행 공간과 특권 없는 실행 공간 간의 보안 경계를 허물고 Intel CPU에 직접적인 영향을 미칩니다.
새로운 기술 커널에서 민감한 콘텐츠를 추출할 수 있도록 허용 IBPB, eIBRS 또는 BHI_NO와 같은 최신 완화책을 구현한 시스템에서도 하이퍼바이저 속도가 초당 최대 17KB에 달합니다.
트레이닝 솔로, 스펙터-v2의 새로운 얼굴이 강력하게 다시 등장
Spectre-v2는 발견 이후 추측적 특성과 " 때문에 완화하기 가장 어려운 취약점 클래스 중 하나가 되었습니다.Training Solo»에서도 또 다시 중요한 문제가 등장합니다. 공격자가 제어하는 코드 없이도 분기 예측기에 영향을 미칠 수 있지만, 대신 커널이나 하이퍼바이저 내의 기존 코드 조각(가젯)을 사용하여 사용자 공간에서 예측기를 학습시키기 때문입니다.
저희의 연구는 공격자가 동일한 도메인(예: 커널) 내에서 제어 흐름을 추측적으로 하이재킹하고 권한 경계를 넘어 비밀을 유출할 수 있으며, eBPF와 같은 강력한 샌드박스에 의존하지 않고도 기존 Spectre-v2 시나리오를 되살릴 수 있음을 보여줍니다. 우리는 자체 학습 시나리오에서 분기 예측기를 분석하기 위해 새로운 테스트 세트를 만들었습니다.
연구원 이러한 가젯을 조작함으로써 (예: cBPF 기반 SECCOMP 필터 활용) 추측적 실행이 유도될 수 있습니다 특권 시스템의 데이터를 유출합니다.
이 기술을 "개별 훈련"이라고 부르는데, 예측자의 기록은 변경될 수 있습니다 포크의 추측 실행 중에 잘못된 점프가 발생하도록 합니다.캐시의 부작용을 통해 메모리 내용이 누출되는 것을 목표로 합니다.
롯 훈련 솔로 공격에는 세 가지 변형이 있습니다.각자가 다른 약점을 이용합니다.
- 커널 가젯을 사용하여 브랜치 기록 조작: SECCOMP와 같은 시스템 호출을 악용하여 필터가 잘못된 추측 분기를 유도하고 Intel Tiger Lake 및 Lion Cove CPU에서 1,7KB/s의 속도로 메모리가 누출됩니다.
- 분기 예측 버퍼(BTB)의 명령 포인터(IP) 충돌: 이 경우 버퍼에서 주소가 충돌하면 두 개의 서로 다른 간접 분기가 서로 영향을 미쳐 추측 대상을 잘못 예측할 수 있습니다.
- 직접 및 간접 분기 간의 영향: 두 가지 특정 취약점(CVE-2024-28956(ITS) 및 CVE-2025-24495)을 기반으로 하는 이 기술은 직접 분기가 간접 분기 예측에 어떻게 영향을 미칠 수 있는지를 악용합니다. 이 방법을 사용하면 passwd -s를 실행한 후 단 60초 만에 루트 비밀번호 해시가 복구되었습니다.
우리의 연구는 자체 학습 공격을 통해 도메인 고립을 설계적으로 깨는 데 중점을 두고 있습니다. 그러나 테스트 세트에서 발견된 하드웨어 문제는 격리 구현에도 영향을 미치는데, 이는 직접 분기가 간접 분기를 학습하는 데 사용되지 않는다고 가정했기 때문입니다.
새로운 취약점의 영향 및 범위
공격 다양한 Intel CPU에 영향을 미칩니다.Coffee Lake, Tiger Lake, Ice Lake, Rocket Lake 등의 인기 제품군과 2세대, 3세대 Xeon 서버를 포함합니다. 또한 Lunar Lake와 Arrow Lake 아키텍처도 CVE-2025-24495에 취약합니다.
이러한 공격을 완화하려면 인텔이 마이크로코드 업데이트를 출시했습니다. IBHF(Indirect Branch History Fence)라는 새로운 지침을 도입하여 가지 이력 오염을 방지하도록 설계되었습니다. 이 변경 사항은 분기 예측기에 영향을 미치는 모든 코드 뒤에 명시적으로 구현되어야 합니다. 오래된 CPU의 경우, 기록을 수동으로 지우는 소프트웨어 솔루션을 사용하는 것이 좋습니다.
그들의 입장에서는 커널 개발자들은 Linux는 이미 이러한 기술에 대응하기 위해 패치를 통합하기 시작했습니다.여기에는 민감한 캐시 영역에서 간접 점프를 재배치하고 cBPF에 대한 보호 기능을 포함한 조치가 포함됩니다.
AMD는 이를 확인했습니다. 이러한 기술 프로세서에 영향을 미치지 않습니다. ARM은 FEAT_CSV2_3 및 FEAT_CLRBHB 확장을 지원하지 않는 이전 칩만 노출될 것이라고 밝혔습니다.
마지막으로, 그것에 대해 더 알고 싶다면 자세한 내용을 참조하십시오. 다음 링크에서.