Výskumníci z Vrije Universiteit Amsterdam oznámené, prostredníctvom blogového príspevku, na „Training Solo, nová rodina útokov Spectre-v2 ktoré zneužívajú chyby v špekulatívnych predikciách na prelomenie bezpečnostných hraníc medzi privilegovanými a neprivilegovanými priestormi na vykonávanie, čo priamo ovplyvňuje procesory Intel.
Nové techniky umožniť extrahovanie citlivého obsahu z jadra alebo hypervízor rýchlosťou až 17 KB za sekundu, a to aj na systémoch, ktoré implementujú moderné opatrenia na zmiernenie rizík, ako napríklad IBPB, eIBRS alebo BHI_NO.
Tréning Solo, nová tvár Spectre-v2 sa znovu objavuje s veľkou silou
Od svojho objavenia je Spectre-v2 jednou z najťažšie tried zraniteľností na zmiernenie kvôli svojej špekulatívnej povahe a „Tréning Solo“, opäť sa predstavuje kľúčový problém, pretože nevyžaduje žiadny kód ovládaný útočníkom na ovplyvnenie prediktora vetvenia, ale namiesto toho sa spolieha na existujúce fragmenty kódu (gadgety) v jadre alebo hypervízore na trénovanie prediktora z používateľského priestoru.
Naša práca demonštruje, že útočníci môžu špekulatívne uniesť tok riadenia v rámci tej istej domény (napr. jadra) a unikať tajomstvá cez hranice privilégií, čím oživujú klasické scenáre Spectre-v2 bez toho, aby sa spoliehali na výkonné sandboxy ako eBPF. Vytvorili sme novú testovaciu sadu na analýzu prediktora vetvenia v scenári samotrénovania.
vedci ukázali, že manipuláciou s týmito zariadeniami (napr. využitie filtrov SECCOMP založených na cBPF) špekulatívne exekúcie môžu byť vyvolané ktorý uniká dáta z privilegovaného systému.
Prostredníctvom tejto techniky, nazývanej „individuálny tréning“, história prediktora sa dá zmeniť vidličiek aby sa počas špekulatívneho vykonávania vyskytli nesprávne skoky, s cieľom úniku obsahu pamäte prostredníctvom vedľajších efektov vo vyrovnávacej pamäti.
undefined Tréningové sólové útoky sa dodávajú v troch variantoch, pričom každý z nich využíva rôzne slabé stránky:
- Manipulácia s históriou vetiev pomocou gadgetov jadraZneužíva systémové volania ako SECCOMP, kde filtre môžu vyvolať falošné špekulatívne vetvy a unikať pamäť rýchlosťou 1,7 KB/s na procesoroch Intel Tiger Lake a Lion Cove.
- Kolízie ukazovateľov inštrukcií (IP) vo vyrovnávacej pamäti predikcie vetiev (BTB): Tu sa dve rôzne nepriame vetvy môžu navzájom ovplyvňovať, ak sa ich adresy v bufferi kolidujú, čo umožňuje nesprávne predpovedať špekulatívne destinácie.
- Vplyvy medzi priamymi a nepriamymi vetvami: Táto technika, založená na dvoch špecifických zraniteľnostiach (CVE-2024-28956 (ITS) a CVE-2025-24495), využíva, ako môžu priame vetvy ovplyvniť predikciu nepriamych vetví. Pomocou tohto prístupu bol hash hesla root obnovený po spustení príkazu passwd -s za iba 60 sekúnd.
Naša práca sa zameriava na prelomenie izolácie domény už v návrhu prostredníctvom útokov so samoučením. Hardvérové problémy zistené v našej testovacej sade však ovplyvňujú aj implementáciu izolácie, pretože sa predpokladalo, že priame vetvy sa nebudú používať na trénovanie nepriamych vetiev.
Dopad a rozsah nových zraniteľností
Útoky ovplyvňujú širokú škálu procesorov Intel, vrátane populárnych radov ako Coffee Lake, Tiger Lake, Ice Lake a Rocket Lake, ako aj serverov Xeon 2. a 3. generácie. Okrem toho sú architektúry Lunar Lake a Arrow Lake zraniteľné aj v rámci škody CVE-2025-24495.
Na zmiernenie týchto útokov, Spoločnosť Intel vydala aktualizáciu mikrokódu ktorá zavádza novú inštrukciu: IBHF (Indirect Branch History Fence), určenú na zabránenie kontaminácie histórie vetiev. Táto zmena musí byť implementovaná explicitne po akomkoľvek kóde, ktorý ovplyvňuje prediktor vetvenia. Pre staršie procesory sa odporúča používať softvérové riešenia, ktoré manuálne vymažú históriu.
Vývojári jadra, z ich strany Linux už začal integrovať záplaty, aby sa týmto technikám vyhol.vrátane opatrení, ktoré presúvajú nepriame skoky mimo citlivých oblastí vyrovnávacej pamäte a ochrany pred cBPF.
Spoločnosť AMD to zo svojej strany potvrdila. Tieto techniky neovplyvňujú vaše procesory. Spoločnosť ARM uviedla, že sprístupnené budú iba jej staršie čipy bez podpory rozšírení FEAT_CSV2_3 a FEAT_CLRBHB.
Nakoniec, ak máte záujem dozvedieť sa o ňom viac, môžete si prekonzultovať podrobnosti Na nasledujúcom odkaze.