Het project onlangs Grsecurity bekend gemaakt via een publicatie details en een demo een aanvalsmethode voor een nieuwe kwetsbaarheid (reeds vermeld als CVE-2021-26341) in AMD-processors met betrekking tot de uitvoering van speculatieve instructies na onvoorwaardelijke sprongvoorwaartse bewerkingen.
Kwetsbaarheid stelt de processor in staat om speculatief te verwerken de instructie onmiddellijk na de spronginstructie (SLS) in het geheugen tijdens speculatieve uitvoering. Tegelijkertijd werkt een dergelijke optimalisatie niet alleen voor operators voor voorwaardelijke sprongen, maar ook voor instructies die een directe onvoorwaardelijke sprong inhouden, zoals JMP, RET en CALL.
Onvoorwaardelijke vertakkingsinstructies kunnen worden gevolgd door willekeurige gegevens die niet bedoeld zijn voor uitvoering. Na te hebben vastgesteld dat de vertakking geen uitvoering van de volgende verklaring omvat, de processor draait gewoon de status terug en negeert speculatieve uitvoering, maar het instructie-uitvoeringsspoor blijft in de algemene cache en is beschikbaar voor analyse met behulp van zijkanaalophaalmethoden.
AMD biedt een update voor een aanbevolen beperking, de G-5 beperking, in de whitepaper "Softwaretechnieken voor het beheren van speculatie in AMD-processors". De G-5-beperking helpt potentiële kwetsbaarheden aan te pakken die verband houden met speculatief gedrag van filiaalinstructies.
AMD-processors kunnen tijdelijk instructies uitvoeren na een onvoorwaardelijke voorwaartse vertakking, wat kan leiden tot cache-activiteit
Net als bij de exploitatie van de Spectre-v1, een aanval vereist de aanwezigheid van bepaalde reeksen van instructies (gadgets) in de kernel, wat leidt tot speculatieve uitvoering.
In dit geval komt het blokkeren van een kwetsbaarheid neer op het identificeren van dergelijke apparaten in de code en het toevoegen van aanvullende instructies die speculatieve uitvoering blokkeren. Voorwaarden voor speculatieve uitvoering kunnen ook worden gecreëerd met behulp van niet-bevoorrechte programma's die op de virtuele eBPF-machine worden uitgevoerd.
Dit onderzoek resulteerde in de ontdekking van een nieuwe kwetsbaarheid, CVE-2021-26341 [1] , die we in dit artikel in detail zullen bespreken. Zoals gewoonlijk zullen we ons concentreren op de technische aspecten van de kwetsbaarheid, de door AMD gesuggereerde oplossingen en de exploitatieaspecten.
Om de mogelijkheid om apparaten te bouwen met eBPF te blokkeren, het wordt aanbevolen om onbevoegde toegang tot eBPF . uit te schakelen in het systeem ("sysctl -w kernel.unprivileged_bpf_disabled=1
De kwetsbaarheid treft processors op basis van de Zen1- en Zen2-microarchitectuur:
Lessenaar
- AMD Athlon™ X4-processor
- AMD Ryzen™ Threadripper™ PRO-processor
- XNUMXe generatie AMD Ryzen™ Threadripper™-processors
- XNUMXe generatie AMD Ryzen™ Threadripper™-processors
- XNUMXe generatie AMD A-serie APU
- AMD Ryzen™ 2000-serie desktopprocessors
- AMD Ryzen™ 3000-serie desktopprocessors
- AMD Ryzen™ 4000-serie desktopprocessors met Radeon™-graphics
Mobiel
- AMD Ryzen™ 2000-serie mobiele processor
- AMD Athlon™ 3000-serie mobiele processors met Radeon™-graphics
- AMD Ryzen™ 3000-serie mobiele processors of XNUMXe generatie AMD Ryzen™ mobiele processors met Radeon™-graphics
- AMD Ryzen™ 4000-serie mobiele processors met Radeon™-graphics
- AMD Ryzen™ 5000-serie mobiele processors met Radeon™-graphics
Chromebook
- AMD Athlon™ mobiele processors met Radeon™ grafische kaart
Server
- Eerste generatie AMD EPYC™-processors
- XNUMXe generatie AMD EPYC™-processors
Er wordt vermeld dat als de aanval slaagt, door de kwetsbaarheid kan de inhoud van willekeurige geheugengebieden worden bepaald.
Vanwege dit beveiligingslek is het mogelijk om goedaardige codeconstructies te identificeren die beperkte maar potentieel exploiteerbare SLS-apparaten vormen op getroffen CPU's. Zoals aangetoond met het eBPF-voorbeeld, is het ook mogelijk om de kwetsbaarheid te misbruiken met handgebouwde, zelf-geïnjecteerde apparaten. De gepresenteerde methode kan bijvoorbeeld worden gebruikt om de KASLR-beperking van de Linux-kernel te doorbreken.
Onderzoekers hebben bijvoorbeeld een exploit voorbereid waarmee u de lay-out van het adres kunt bepalen en het KASLR-beveiligingsmechanisme (kernel memory randomization) kunt omzeilen door code zonder privileges uit te voeren in het eBPF-kernelsubsysteem, naast andere aanvalsscenario's die de inhoud van het kernelgeheugen zijn niet uitgesloten.
Eindelijk als je er wat meer over wilt weten, kunt u de details bekijken In de volgende link.