En feil i Linux 6.2 tillot å omgå Spectre v2-angrepsbeskyttelse

Nylig ble det gitt ut informasjon om en sårbarhet identifisert i Linux 6.2-kjernen (allerede oppført under CVE-2023-1998) og som skiller seg ut fordi det er det deaktiver Spectre v2-angrepsbeskyttelse som gir tilgang til minne for andre prosesser som kjører på forskjellige SMT- eller Hyper Threading-tråder, men på samme fysiske prosessorkjerne.

Sårbarhet er bemerkelsesverdig blant annet fordi kan brukes til organisere datalekkasje mellom virtuelle maskiner i skysystemer. 

For de som ikke vet om Spectre, bør de vite at dette er en av de to opprinnelige CPU-sårbarhetene for forbigående kjøring (den andre er Meltdown), som involverer mikroarkitektonisk timing av sidekanalangrep. Disse påvirker moderne mikroprosessorer som utfører hoppprediksjoner og andre former for spekulasjoner.

På de fleste prosessorer kan spekulativ utførelse som følge av feil grenprediksjon gi observerbare bivirkninger som kan avsløre private data. For eksempel, hvis mønsteret av minnetilganger laget av en slik spekulativ kjøring avhenger av de private dataene, utgjør den resulterende tilstanden til databufferen en sidekanal der en angriper kan trekke ut informasjon om de private dataene ved å bruke et tidsangrep.

Siden avsløringen av Spectre og Meltdown i januar 2018 har flere varianter og nye typer sårbarhet knyttet til dem dukket opp.

Linux-kjernen tillater brukerlandprosesser å aktivere avgrensninger ved å kalle prctl med PR_SET_SPECULATION_CTRL, som deaktiverer spesifikasjonsfunksjonen, samt ved å bruke seccomp. Vi fant at på virtuelle maskiner fra minst én stor skyleverandør, la kjernen fortsatt offerprosessen åpen for angrep i noen tilfeller, selv etter å ha aktivert spectre-BTI-redusering med prctl. 

Angående sårbarhet nevnes det at i brukerområdet, for å beskytte mot angrep av Spectre, prosesser kan selektivt deaktivere utførelse spekulative instruksjoner med prctl PR_SET_SPECULATION_CTRL eller bruk seccomp-basert systemanropsfiltrering.

Ifølge forskerne som identifiserte problemet, feil optimalisering i kjerne 6.2 forlot virtuelle maskiner fra minst én stor skyleverandør uten skikkelig beskyttelse til tross for inkluderingen av spectre-BTI-angrepsblokkeringsmodus via prctl. Sårbarheten viser seg også på vanlige servere med kjerne 6.2, som startes med konfigurasjonen "spectre_v2=ibrs".

Essensen av sårbarhet er det ved å velge beskyttelsesmåter IBRS eller eIBRS, de foretatte optimaliseringene deaktiverte bruken av STIBP (Single Thread Indirect Branch Predictors)-mekanismen, som er nødvendig for å blokkere lekkasjer ved bruk av Simultaneous Multi-Threading (SMT eller Hyper-Threading) teknologi. )

I sin tur er det kun eIBRS-modus som gir beskyttelse mot lekkasjer mellom tråder, ikke IBRS-modus, siden IBRS-biten, som gir beskyttelse mot lekkasjer mellom logiske kjerner, fjernes av ytelsesgrunner når kontrollen går tilbake til plassbrukeren, noe som gjør brukerområde-tråder ubeskyttet mot angrep fra Spectre v2-klassen.

Testen består av to prosesser. Angriperen forgifter konstant et indirekte anrop for å spekulativt omdirigere det til en destinasjonsadresse. Offerprosessen måler feil prediksjonshastighet og prøver å dempe angrepet ved å ringe PRCTL eller skrive til MSR direkte ved å bruke en kjernemodul som avslører MSR-lese- og skriveoperasjoner i brukerområdet.

Problemet påvirker bare Linux 6.2-kjernen og skyldes feil implementering av optimaliseringer designet for å redusere betydelig overhead ved bruk av beskyttelse mot Spectre v2. sårbarhet Det ble fikset i den eksperimentelle Linux 6.3-kjernegrenen.

Endelig ja du er interessert i å kunne vite mer om det, kan du sjekke detaljene i følgende lenke.