Onderzoekers aan de Vrije Universiteit van Amsterdam bekend gemaakt onlangs een gevonden nieuwe kwetsbaarheid die een uitgebreide versie is van de Spectre-v2-kwetsbaarheid op Intel- en ARM-processors.
Deze nieuwe kwetsbaarheid, waaraan hebben gedoopt als BHI (Injectie met filiaalgeschiedenis, CVE-2022-0001), BHB (Vertakkingsgeschiedenisbuffer, CVE-2022-0002) en Spectre-BHB (CVE-2022-23960), wordt gekenmerkt door het toestaan van omzeiling van de eIBRS- en CSV2-beveiligingsmechanismen die aan de processors zijn toegevoegd.
De kwetsbaarheid wordt beschreven in verschillende manifestaties van hetzelfde probleem, aangezien BHI een aanval is die verschillende privilegeniveaus aantast, bijvoorbeeld een gebruikersproces en de kernel, terwijl BHB een aanval is op hetzelfde privilegeniveau, bijvoorbeeld eBPF JIT en de kern.
Over kwetsbaarheid
Conceptueel, BHI is een uitgebreide variant van de Spectre-v2-aanval, om extra bescherming (Intel eIBRS en Arm CSV2) te omzeilen en gegevenslekken te orkestreren, de vervanging van waarden in de buffer door een globale vertakkingsgeschiedenis (Branch-geschiedenisbuffer), die in de CPU wordt gebruikt om de nauwkeurigheid van vertakkingsvoorspellingen te verbeteren door rekening te houden met de geschiedenis van eerdere transities.
Tijdens een aanval door manipulaties met de geschiedenis van transities, voorwaarden worden gecreëerd voor de onjuiste voorspelling van de transitie en speculatieve uitvoering van de nodige instructies, waarvan het resultaat in de cache wordt gedeponeerd.
Met uitzondering van het gebruik van een versiegeschiedenisbuffer in plaats van een versiedoelbuffer, is de nieuwe aanval identiek aan Spectre-v2. Het is de taak van de aanvaller om zodanige voorwaarden te creëren dat het adres, bij het uitvoeren van een speculatieve operatie wordt deze genomen uit het gebied van de gegevens die worden bepaald.
Na het uitvoeren van een speculatieve indirecte sprong, blijft het uit het geheugen gelezen sprongadres in de cache, waarna een van de methoden voor het bepalen van de inhoud van de cache kan worden gebruikt om deze op te halen op basis van een analyse van de verandering in cachetoegangstijd en niet-gecached gegevens.
Onderzoekers hebben een functionele exploit aangetoond waarmee gebruikersruimte willekeurige gegevens uit het kernelgeheugen kan extraheren.
Het laat bijvoorbeeld zien hoe, met behulp van de voorbereide exploit, het mogelijk is om uit de kernelbuffers een string te extraheren met een hash van het wachtwoord van de rootgebruiker, geladen uit het /etc/shadow-bestand.
De exploit demonstreert de mogelijkheid om de kwetsbaarheid binnen een enkel privilegeniveau (kernel-naar-kernel-aanval) te misbruiken met behulp van een door de gebruiker geladen eBPF-programma. De mogelijkheid om bestaande Spectre-gadgets in de kernelcode te gebruiken, scripts die leiden tot speculatieve uitvoering van instructies, is evenmin uitgesloten.
Kwetsbaarheid verschijnt op de meeste huidige Intel-processors, met uitzondering van de Atom-familie van processors en in verschillende van de ARM-processors.
Volgens onderzoek manifesteert de kwetsbaarheid zich niet op AMD-processors. Om het probleem op te lossen zijn verschillende methoden voorgesteld. software om de kwetsbaarheid te blokkeren, die kan worden gebruikt voordat hardwarebescherming in toekomstige CPU-modellen verschijnt.
Om aanvallen via het eBPF-subsysteem te blokkeren, sHet wordt aanbevolen om de mogelijkheid om eBPF-programma's te laden standaard uit te schakelen door onbevoegde gebruikers door 1 te schrijven naar het bestand "/proc/sys/kernel/unprivileged_bpf_disabled" of door het commando "sysctl -w kernel .unprivileged_bpf_disabled=1" uit te voeren.
Om aanvallen via gadgets te blokkeren, het wordt aanbevolen om de LFENCE-instructie te gebruiken: in secties van code die mogelijk leiden tot speculatieve uitvoering. Het is opmerkelijk dat de standaardconfiguratie van de meeste Linux-distributies al de nodige beschermingsmaatregelen bevat die voldoende zijn om de door de onderzoekers aangetoonde eBPF-aanval te blokkeren.
Intel's aanbevelingen om onbevoegde toegang tot eBPF uit te schakelen zijn ook standaard van toepassing vanaf Linux kernel 5.16 en zullen worden overgezet naar eerdere branches.
Tot slot, als u geïnteresseerd bent om er meer over te weten, kunt u de details raadplegen in de volgende link.