Cercetători de la Vrije Universiteit Amsterdam făcut cunoscut, printr-o postare pe blog, către „Training Solo, o nouă familie de atacuri Spectre-v2 care exploatează defectele în predicția speculativă pentru a sparge limitele de securitate dintre spațiile de execuție privilegiate și cele neprivilegiate, afectând direct procesoarele Intel.
Noile tehnici permite extragerea conținutului sensibil din kernel sau hipervizorul la viteze de până la 17 KB pe secundă, chiar și pe sisteme care implementează atenuări moderne precum IBPB, eIBRS sau BHI_NO.
Training Solo, noua față a Spectre-v2 reapare în forță
De la descoperirea sa, Spectre-v2 a fost una dintre cele mai dificil de atenuat clase de vulnerabilități datorită naturii sale speculative și „„Antrenament Solo”, este introdusă din nou o problemă crucială, deoarece nu necesită niciun cod controlat de atacator pentru a influența predictorul de ramură, ci se bazează pe fragmente de cod (gadgeturi) existente în kernel sau hypervisor pentru a antrena predictorul din spațiul utilizatorului.
Munca noastră demonstrează că atacatorii pot deturna speculativ fluxul de control în cadrul aceluiași domeniu (de exemplu, kernelul) și pot divulga secrete peste limitele de privilegii, reînviind scenariile clasice Spectre-v2 fără a se baza pe sandbox-uri puternice precum eBPF. Am creat un nou set de teste pentru a analiza predictorul de ramificații într-un scenariu de auto-antrenament.
Cercetătorii au demonstrat că prin manipularea acestor gadgeturi (de exemplu, utilizarea filtrelor SECCOMP bazate pe cBPF) Execuția speculativă poate fi indusă care scurge date din sistemul privilegiat.
Prin intermediul acestei tehnici, numite „antrenament individual”, Istoricul predictorului poate fi modificat de furci astfel încât să apară salturi incorecte în timpul execuției speculative, cu scopul de a scurge conținut din memorie prin efecte secundare în memoria cache.
L Atacurile Solo de antrenament vin în trei variante, fiecare profitând de diferite puncte slabe:
- Manipularea istoricului ramurilor cu ajutorul gadgeturilor kerneluluiExploatează apeluri de sistem precum SECCOMP, unde filtrele pot induce ramificații speculative false, pierzând memorie la rate de 1,7 KB/s pe procesoarele Intel Tiger Lake și Lion Cove.
- Coliziuni ale indicatorului de instrucțiuni (IP) în bufferul de predicție a ramificării (BTB): Aici, două ramuri indirecte diferite se pot influența reciproc dacă adresele lor se ciocnesc în buffer, permițând prezicerea greșită a destinațiilor speculative.
- Influențe între ramurile directe și indirecte: Această tehnică, bazată pe două vulnerabilități specifice (CVE-2024-28956 (ITS) și CVE-2025-24495), exploatează modul în care ramificațiile directe pot influența predicția ramificațiilor indirecte. Folosind această abordare, hash-ul parolei de root a fost recuperat după rularea comenzii passwd -s în doar 60 de secunde.
Munca noastră se concentrează pe eliminarea izolării domeniului prin atacuri de auto-antrenament. Totuși, problemele hardware detectate în setul nostru de teste afectează și implementarea izolării, deoarece s-a presupus că ramificațiile directe nu vor fi utilizate pentru antrenarea ramificațiilor indirecte.
Impactul și amploarea noilor vulnerabilități
Atacurile afectează o gamă largă de procesoare Intel, inclusiv linii populare precum Coffee Lake, Tiger Lake, Ice Lake și Rocket Lake, precum și servere Xeon de a doua și a treia generație. În plus, arhitecturile Lunar Lake și Arrow Lake sunt, de asemenea, vulnerabile în conformitate cu CVE-2-3.
Pentru a atenua aceste atacuri, Intel a lansat o actualizare a microcodului care introduce o nouă instrucțiune: IBHF (Indirect Branch History Fence - Gardă indirectă pentru istoricul ramurilor), concepută pentru a preveni contaminarea istoricului ramurilor. Această modificare trebuie implementată explicit după orice cod care afectează predictorul de ramură. Pentru procesoarele mai vechi, s-a recomandat utilizarea unor soluții software care șterg manual istoricul.
La rândul lor, dezvoltatorii de kernel ai Linux a început deja să integreze patch-uri pentru a contracara aceste tehnici., inclusiv măsuri care relochează salturile indirecte în afara zonelor sensibile din cache și protecție împotriva cBPF.
AMD, la rândul său, a confirmat că Aceste tehnici nu vă afectează procesoarele. ARM a indicat că vor fi expuse doar cipurile sale mai vechi, fără suport pentru extensiile FEAT_CSV2_3 și FEAT_CLRBHB.
În fine, dacă ești interesat să afli mai multe despre el, poți consulta detaliile În următorul link.