Cercetători de la Universitatea Liberă din Amsterdam făcut cunoscut găsit recent unul o nouă vulnerabilitate care este o versiune extinsă a vulnerabilității Spectre-v2 pe procesoare Intel și ARM.
Această nouă vulnerabilitate, la care au botezat ca BHI (Injectarea istoricului sucursalei, CVE-2022-0001), bhb (Buffer istoric al sucursalei, CVE-2022-0002) și Spectre-BHB (CVE-2022-23960), se caracterizează prin faptul că permite eludarea mecanismelor de protecție eIBRS și CSV2 adăugate procesoarelor.
Vulnerabilitatea este descrisă în diferite manifestări ale aceleiași probleme, deoarece BHI este un atac care afectează diferite niveluri de privilegii, de exemplu, un proces utilizator și nucleul, în timp ce BHB este un atac la același nivel de privilegii, de exemplu, eBPF JIT și miezul.
Despre vulnerabilitate
Conceptual, BHI este o variantă extinsă a atacului Spectre-v2, în care să ocoliți protecția suplimentară (Intel eIBRS și Arm CSV2) și să orchestrați scurgerea de date, înlocuirea valorilor din buffer cu un istoric global al ramurilor (Branch History Buffer), care este utilizat în CPU pentru a îmbunătăți acuratețea predicției ramurilor luând în considerare istoria tranzițiilor trecute.
În cursul unui atac prin manipulări cu istoria tranzițiilor, se creează condiţii pentru predicţia incorectă a tranziţiei şi execuţia speculativă a instrucțiunilor necesare, al căror rezultat este depus în cache.
Cu excepția utilizării unui buffer de istoric al versiunilor în loc de un buffer al versiunii țintă, noul atac este identic cu Spectre-v2. Sarcina atacatorului este de a crea astfel de condiții încât adresa, atunci când se efectuează o operațiune speculativă, aceasta este luată din zona datelor care se determină.
După efectuarea unui salt indirect speculativ, adresa de salt citită din memorie rămâne în cache, după care una dintre metodele de determinare a conținutului cache-ului poate fi folosită pentru a-l recupera pe baza unei analize a modificării timpului de acces la cache și necache. date.
Cercetătorii au demonstrat o exploatare funcțională care permite spațiului utilizatorului să extragă date arbitrare din memoria kernelului.
De exemplu, arată cum, folosind exploit-ul pregătit, este posibil să se extragă din buffer-urile kernelului un șir cu un hash al parolei utilizatorului root, încărcat din fișierul /etc/shadow.
Exploatarea demonstrează capacitatea de a exploata vulnerabilitatea într-un singur nivel de privilegii (atac de la kernel la kernel) folosind un program eBPF încărcat de utilizator. De asemenea, nu este exclusă posibilitatea utilizării gadgeturilor Spectre existente în codul kernelului, scripturi care duc la executarea speculativă a instrucțiunilor.
Vulnerabilitate apare pe majoritatea procesoarelor Intel actuale, cu excepția familiei de procesoare Atom și a mai multor procesoare ARM.
Conform cercetărilor, vulnerabilitatea nu se manifestă pe procesoarele AMD. Pentru a rezolva problema, au fost propuse mai multe metode. software pentru a bloca vulnerabilitatea, care poate fi folosit înainte de apariția protecției hardware în viitoarele modele de CPU.
Pentru a bloca atacurile prin subsistemul eBPF, sSe recomandă dezactivarea implicită a capacității de a încărca programe eBPF de către utilizatorii neprivilegiați scriind 1 în fișierul „/proc/sys/kernel/unprivileged_bpf_disabled” sau rulând comanda „sysctl -w kernel .unprivileged_bpf_disabled=1”.
Pentru a bloca atacurile prin intermediul gadgeturilor, se recomandă utilizarea instrucţiunii LFENCE în secțiuni de cod care pot duce la execuții speculative. Este de remarcat faptul că configurația implicită a majorității distribuțiilor Linux conține deja măsurile de protecție necesare suficiente pentru a bloca atacul eBPF demonstrat de cercetători.
Recomandările Intel de a dezactiva accesul neprivilegiat la eBPF se aplică și implicit, începând cu kernel-ul Linux 5.16 și vor fi portate în ramurile anterioare.
În fine, dacă sunteți interesat să puteți afla mai multe despre acesta, puteți consulta detaliile în următorul link.