Vrije universiteto mokslininkai Amsterdamas paskelbta, per tinklaraščio įrašą, kad „„Treating Solo“ – nauja „Spectre-v2“ atakų šeima kurie išnaudoja spekuliatyvaus prognozavimo trūkumus, kad peržengtų saugumo ribas tarp privilegijuotų ir neprivilegijuotų vykdymo erdvių, tiesiogiai paveikdami „Intel“ procesorius.
Naujos technikos leisti iš branduolio išgauti jautrų turinį arba hipervizorių iki 17 KB per sekundę greičiu, net ir sistemose, kuriose įdiegti modernūs rizikos mažinimo būdai, pvz., IBPB, eIBRS arba BHI_NO.
„Training Solo“, naujasis „Spectre-v2“ veidas vėl išnyra su jėga
Nuo pat atradimo „Spectre-v2“ buvo viena iš sunkiausiai pašalinamų pažeidžiamumų klasių dėl savo spekuliacinio pobūdžio ir „„Treniruotės solo“ vėlgi iškeliama esminė problema, nes jam nereikia jokio užpuoliko kontroliuojamo kodo, kad būtų paveiktas šakos prognozuotojas, o vietoj to naudojamasi esamais kodo fragmentais (įtaisais) branduolyje arba hipervizoriuje, kad apmokytų prognozuotoją iš vartotojo erdvės.
Mūsų darbas rodo, kad užpuolikai gali spekuliatyviai užgrobti valdymo srautą tame pačiame domene (pvz., branduolyje) ir nutekinti paslaptis per privilegijų ribas, atgaivindami klasikinius „Spectre-v2“ scenarijus, nepasikliaudami galingomis smėlio dėžėmis, tokiomis kaip eBPF. Sukūrėme naują testų rinkinį, skirtą šakos prognozuotojui analizuoti savarankiško mokymo scenarijuje.
Mokslininkai parodė, kad manipuliuodami šiais įtaisais (pvz., naudojant cBPF pagrįstus SECCOMP filtrus) spekuliacinis vykdymas gali būti paskatintas kuris nutekina duomenis iš privilegijuotos sistemos.
Taikant šią techniką, vadinamą „individualiu mokymu“, prognozuotojo istoriją galima pakeisti šakių kad spekuliacinio vykdymo metu įvyktų neteisingi šuoliai, siekiant nutekėti atminties turinį per šalutinį poveikį talpykloje.
Los Treniruočių solo atakos būna trijų variantų, kiekvienas pasinaudoja skirtingais trūkumais:
- Šakos istorijos manipuliavimas naudojant branduolio įtaisusIšnaudoja sisteminius iškvietimus, tokius kaip SECCOMP, kur filtrai gali sukelti netikras spekuliatyvias šakas, dėl kurių „Intel Tiger Lake“ ir „Lion Cove“ procesoriuose nuteka atmintis 1,7 KB/s greičiu.
- Instrukcijų rodyklės (IP) susidūrimai šakos prognozavimo buferyje (BTB): Čia dvi skirtingos netiesioginės šakos gali daryti įtaką viena kitai, jei jų adresai buferyje susiduria, todėl spekuliatyvios paskirties vietos gali būti neteisingai numatytos.
- Įtaka tarp tiesioginių ir netiesioginių šakų: Ši technika, pagrįsta dviem konkrečiais pažeidžiamumais (CVE-2024-28956 (ITS) ir CVE-2025-24495), išnaudoja tai, kaip tiesioginės šakos gali paveikti netiesioginių šakų prognozavimą. Naudojant šį metodą, root slaptažodžio maišos kodas buvo atkurtas paleidus komandą „passwd -s“ vos per 60 sekundžių.
Mūsų darbas sutelktas į domeno izoliacijos panaikinimą naudojant savarankiško mokymosi atakas. Tačiau mūsų bandymų rinkinyje aptiktos aparatinės įrangos problemos taip pat turi įtakos izoliacijos įgyvendinimui, nes buvo daroma prielaida, kad tiesioginės šakos nebus naudojamos netiesioginėms šakoms mokyti.
Naujų pažeidžiamumų poveikis ir mastas
Išpuoliai paveikti daugybę „Intel“ procesorių, įskaitant tokias populiarias linijas kaip „Coffee Lake“, „Tiger Lake“, „Ice Lake“ ir „Rocket Lake“, taip pat antros ir trečios kartos „Xeon“ serverius. Be to, „Lunar Lake“ ir „Arrow Lake“ architektūros taip pat yra pažeidžiamos pagal CVE-2-3.
Siekiant sušvelninti šiuos išpuolius, „Intel“ išleido mikrokodo atnaujinimą kuri pristato naują instrukciją: IBHF (netiesioginė šakos istorijos tvora), skirtą užkirsti kelią šakos istorijos užteršimui. Šis pakeitimas turi būti įdiegtas aiškiai po bet kokio kodo, kuris turi įtakos šakos prognozavimo įrankiui. Senesniems procesoriams rekomenduojama naudoti programinės įrangos sprendimus, kurie rankiniu būdu išvalo istoriją.
Savo ruožtu, branduolio kūrėjai „Linux“ jau pradėjo integruoti pataisymus, skirtus neutralizuoti šias technikas., įskaitant priemones, kurios perkelia netiesioginius šuolius iš jautrių talpyklos sričių ir apsaugą nuo cBPF.
AMD savo ruožtu patvirtino, kad Šie metodai neturi įtakos jūsų procesoriams. ARM nurodė, kad bus paveikti tik senesni lustai, nepalaikantys FEAT_CSV2_3 ir FEAT_CLRBHB plėtinių.
Galiausiai, jei norite sužinoti daugiau apie tai, galite sužinoti daugiau Šioje nuorodoje.