den Bitdefender-forskere har identifisert en ny sårbarhet i mekanismen for spekulativ gjennomføring av instruksjoner i moderne prosessorer, som fikk navnet SWAPGS, Et tilsvarende navn på prosessorinstruksjonen som forårsaker problemet.
Sårbarhet tillater en uprivilegert angriper å bestemme innholdet i kjerneminneområdene eller kjører virtuelle maskiner. Problemet er bekreftet på Intel-prosessorer (x86_64) og påvirker delvis AMD-prosessorer som den primære angrepsvektoren ikke vises for.
De tidligere implementerte antisårbarhetsmetodene Spectre og Meltdown beskytter ikke mot SWAPGS-angrep bruker Intel-prosessorer, men løsninger for Linux, ChromeOS, Android og Windows er allerede foreslått.
Sårbarheten tilhører Specter v1-klassen og er basert på ideen om å hente data fra prosessorbufferen som gjenstår etter den spekulative utførelsen av instruksjonene.
Forutsigelsesblokkene for konvertering av moderne CPU-er bruker proaktiv utføring av noen instruksjoner, som er mer sannsynlig å bli utført, for å forbedre ytelsen, men uten å vente på beregning av alle faktorene som bestemmer kjøringen (for eksempel når instruksjonene overgår tilgangsparametere er ikke beregnet ennå).
Hvis prognosen ikke blir bekreftet, forkaster prosessoren resultatet av den spekulative kjøringen, men dataene som behandles under kjøringen blir hurtigbufret av prosessoren og kan gjenopprettes ved hjelp av metoder for å bestemme innholdet i hurtigbufferen på tvers av kanaler. endring i tilgangstid til hurtigbufrede og ikke-hurtigbufrede data.
Om SWAPGS
Det særegne ved det nye angrepet er bruken av en lekkasje som oppstår under den spekulative gjennomføringen av SWAPGS-instruksjonen, som brukes i operativsystemer for å erstatte GS-registerverdien når kontroll overføres fra brukerområdet til operativsystemkjernen (GS-verdien som brukes i brukerområdet erstattes av verdien som brukes i kjerneoperasjoner).
Linux-kjernen i GS lagrer per_cpu-pekeren, som brukes til å få tilgang til kjernedataene, og peker på TLS (Thread Local Storage) i brukerområdet.
For å ekskludere dobbel påkallelse av SWAPGS-instruksjonen etter gjentatt kjernetilgang fra kjerneområdet eller når du utfører kode som ikke krever erstatning av GS-register, utføres en sjekk og en betinget overgang før instruksjonen.
Den spekulative kjøringsmekanismen går før kjøringen av koden med SWAPGS-instruksjonen, uten å vente på bekreftelsesresultatet, og hvis den valgte grenen ikke blir bekreftet, forkaster den resultatet.
Derfor, Det kan oppstå en situasjon når en filial som spesifiserer utførelsen av SWAPGS velges spekulativt, men under spekulativ utførelse vil verdien av GS-registeret bli endret av SWAPGS-instruksjonen og vil bli brukt i minneavhengige operasjoner som er hurtigbufret av CPUen.
Forskerne foreslo to angrepsscenarier for hvilke prototype ble utnyttet.
- Det første scenariet er basert på situasjonen der SWAPGS-instruksjonen ikke blir utført spekulativt, selv om den brukes i faktisk utførelse, og det andre scenariet er det motsatte når SWAPGS-instruksjonen utføres spekulativt, selv om det egentlig ikke burde.
- For hvert scenario er det to operasjonelle alternativer: angriperen kan bestemme verdien i en bestemt adresse i kjerneområdet, og angriperen kan søke etter en bestemt verdi i tilfeldige adresser i kjernen.
Løsningen krever installasjon av en kjerneoppdatering i både verts- og gjestemiljøene, etterfulgt av en omstart av systemet. For å deaktivere beskyttelse på Linux, kan du bruke alternativet "nospectre_v1", som også deaktiverer tiltakene for å blokkere SWAPGS-sårbarheten.
Løsningen er tilgjengelig som en patch for Linux-kjernen, som allerede er inkludert i versjonene 4.19.65, 5.2.7, 4.14.137, 4.9.188 og 4.4.188, mens for de forskjellige Linux-distribusjonene vil de aktuelle korreksjonene komme i løpet av denne og den påfølgende uken.