Penyelidik dari Vrije Universiteit Amsterdam dimaklumkan, melalui catatan blog, untuk "Melatih Solo, keluarga baru serangan Spectre-v2 yang mengeksploitasi kelemahan dalam ramalan spekulatif untuk memecahkan sempadan keselamatan antara ruang pelaksanaan istimewa dan tidak istimewa, yang secara langsung mempengaruhi CPU Intel.
Teknik-teknik baru membenarkan kandungan sensitif diekstrak daripada kernel atau hipervisor pada kelajuan sehingga 17 KB sesaat, walaupun pada sistem yang melaksanakan pengurangan moden seperti IBPB, eIBRS atau BHI_NO.
Latihan Solo, wajah baharu Spectre-v2 muncul semula dengan kuat
Sejak penemuannya, Spectre-v2 telah menjadi salah satu kelas kelemahan yang paling sukar untuk dikurangkan kerana sifat spekulatifnya dan "Latihan Solo», sekali lagi masalah penting diperkenalkan, kerana ia tidak memerlukan sebarang kod dikawal penyerang untuk mempengaruhi peramal cawangan, sebaliknya bergantung pada serpihan kod sedia ada (alat) dalam kernel atau hipervisor untuk melatih peramal dari ruang pengguna.
Kerja kami menunjukkan bahawa penyerang boleh secara spekulatif merampas aliran kawalan dalam domain yang sama (mis., kernel) dan membocorkan rahsia merentasi sempadan keistimewaan, menghidupkan semula senario Spectre-v2 klasik tanpa bergantung pada kotak pasir yang berkuasa seperti eBPF. Kami mencipta set ujian baharu untuk menganalisis peramal cawangan dalam senario latihan kendiri.
Para penyelidik telah menunjukkan bahawa dengan memanipulasi alat ini (cth. memanfaatkan penapis SECCOMP berasaskan cBPF) pelaksanaan spekulatif boleh didorong yang membocorkan data daripada sistem istimewa.
Melalui teknik ini, yang dipanggil "latihan individu", sejarah peramal boleh diubah daripada garpu supaya lompatan yang salah berlaku semasa pelaksanaan spekulatif, dengan matlamat membocorkan kandungan memori melalui kesan sampingan dalam cache.
The Latihan Serangan solo datang dalam tiga varian, masing-masing mengambil kesempatan daripada kelemahan yang berbeza:
- Memanipulasi sejarah cawangan dengan alat kernel: Mengeksploitasi panggilan sistem seperti SECCOMP, di mana penapis boleh mendorong cawangan spekulatif palsu, memori bocor pada kadar 1,7 KB/s pada CPU Intel Tiger Lake dan Lion Cove.
- Perlanggaran penunjuk arahan (IP) dalam penimbal ramalan cawangan (BTB): Di sini, dua cawangan tidak langsung yang berbeza boleh mempengaruhi satu sama lain jika alamat mereka bertembung dalam penimbal, membolehkan destinasi spekulatif disalah ramal.
- Pengaruh antara cawangan langsung dan tidak langsung: Teknik ini, berdasarkan dua kelemahan khusus (CVE-2024-28956 (ITS) dan CVE-2025-24495), mengeksploitasi cara cawangan langsung boleh mempengaruhi ramalan cawangan tidak langsung. Menggunakan pendekatan ini, cincangan kata laluan akar telah dipulihkan selepas menjalankan passwd -s dalam masa 60 saat sahaja.
Kerja kami memberi tumpuan kepada memecahkan pengasingan domain dengan reka bentuk melalui serangan latihan kendiri. Walau bagaimanapun, isu perkakasan yang dikesan dalam set ujian kami juga mempengaruhi pelaksanaan pengasingan, kerana diandaikan bahawa cawangan langsung tidak akan digunakan untuk melatih cawangan tidak langsung.
Kesan dan skop kelemahan baharu
Serangan mempengaruhi pelbagai jenis CPU Intel, termasuk talian popular seperti Tasik Kopi, Tasik Harimau, Tasik Ais dan Tasik Roket, serta pelayan Xeon generasi ke-2 dan ke-3. Selain itu, seni bina Tasik Lunar dan Tasik Arrow juga terdedah di bawah CVE-2025-24495.
Untuk mengurangkan serangan ini, Intel telah mengeluarkan kemas kini mikrokod yang memperkenalkan arahan baharu: IBHF (Pagar Sejarah Cawangan Tidak Langsung), direka untuk mencegah pencemaran sejarah cawangan. Perubahan ini mesti dilaksanakan secara eksplisit selepas sebarang kod yang mempengaruhi peramal cawangan. Untuk CPU yang lebih lama, telah disyorkan untuk menggunakan penyelesaian perisian yang mengosongkan sejarah secara manual.
Bagi pihak mereka, pembangun kernel Linux telah pun mula mengintegrasikan patch untuk mengatasi teknik ini, termasuk langkah yang memindahkan lompatan tidak langsung keluar dari kawasan cache sensitif dan perlindungan terhadap cBPF.
AMD, bagi pihaknya, telah mengesahkannya Teknik-teknik ini tidak menjejaskan pemproses anda. ARM menunjukkan bahawa hanya cip lamanya, tanpa sokongan untuk sambungan FEAT_CSV2_3 dan FEAT_CLRBHB, akan terdedah.
Akhir sekali, jika anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh merujuk butirannya Dalam pautan berikut.