Projekt pred kratkim Grsecurity je objavila z objavo podrobnosti in demo metoda napada za novo ranljivost (že naveden kot CVE-2021-26341) na procesorjih AMD v zvezi z izvajanjem špekulativnih navodil po brezpogojnih operacijah skoka naprej.
Ranljivost omogoča procesorju špekulativno obdelavo navodilo takoj za ukazom skoka (SLS) v pomnilniku med špekulativnim izvajanjem. Hkrati takšna optimizacija ne deluje samo za operaterje pogojnega skoka, temveč tudi za navodila, ki vključujejo neposreden brezpogojni skok, kot so JMP, RET in CALL.
Brezpogojnim navodilom veje lahko sledijo poljubni podatki, ki niso namenjeni izvajanju. Po ugotovitvi, da veja ne vključuje izvedbe naslednjega stavka, procesor preprosto povrne stanje in prezre špekulativno izvedbo, vendar sled izvajanja navodil ostane v splošnem predpomnilniku in je na voljo za analizo z uporabo metod priklica stranskega kanala.
AMD v beli knjigi »Tehnike programske opreme za upravljanje špekulacij v procesorjih AMD« ponuja posodobitev za priporočeno ublažitev, G-5. Zmanjševanje G-5 pomaga odpraviti morebitne ranljivosti, povezane s špekulativnim vedenjem navodil podružnic.
Procesorji AMD lahko začasno izvajajo navodila po brezpogojni veji naprej, kar lahko povzroči aktivnost predpomnilnika
Tako kot pri izkoriščanju Spectre-v1, napad zahteva prisotnost določenih zaporedij navodil (pripomočkov) v jedru, kar vodi v špekulativno izvedbo.
V tem primeru se blokiranje ranljivosti zmanjša na identifikacijo takšnih naprav v kodi in dodajanje dodatnih navodil, ki blokirajo špekulativno izvedbo. Pogoje za špekulativno izvedbo je mogoče ustvariti tudi z uporabo neprivilegiranih programov, ki se izvajajo na virtualnem stroju eBPF.
Rezultat te preiskave je bila odkritje nove ranljivosti, CVE-2021-26341 [1] , o čemer bomo podrobno razpravljali v tem članku. Kot običajno se bomo osredotočili na tehnične vidike ranljivosti, ublažitve, ki jih predlaga AMD, in vidike izkoriščanja.
Če želite blokirati možnost gradnje naprav z uporabo eBPF, priporočljivo je onemogočiti neprivilegiran dostop do eBPF v sistemu ("sysctl -w kernel.unprivileged_bpf_disabled=1").
Ranljivost vpliva na procesorje, ki temeljijo na mikroarhitekturi Zen1 in Zen2:
Izletov
- Procesor AMD Athlon™ X4
- Procesor AMD Ryzen™ Threadripper™ PRO
- XNUMX. generacija procesorjev AMD Ryzen™ Threadripper™
- XNUMX. generacija procesorjev AMD Ryzen™ Threadripper™
- APU AMD serije A XNUMX. generacije
- Namizni procesorji serije AMD Ryzen™ 2000
- Namizni procesorji serije AMD Ryzen™ 3000
- Namizni procesorji serije AMD Ryzen™ 4000 z grafiko Radeon™
Mobilni
- Mobilni procesor serije AMD Ryzen™ 2000
- Mobilni procesorji serije AMD Athlon™ 3000 z grafiko Radeon™
- Mobilni procesorji AMD Ryzen™ serije 3000 ali XNUMX. generacija mobilnih procesorjev AMD Ryzen™ z grafiko Radeon™
- Mobilni procesorji serije AMD Ryzen™ 4000 z grafiko Radeon™
- Mobilni procesorji serije AMD Ryzen™ 5000 z grafiko Radeon™
Chromebook
- Mobilni procesorji AMD Athlon™ z grafiko Radeon™
Strežnik
- Prva generacija procesorjev AMD EPYC™
- XNUMX. generacija procesorjev AMD EPYC™
Omenjeno je, da če je napad uspešen, ranljivost omogoča določitev vsebine poljubnih pomnilniških območij.
Zaradi te ranljivosti je morda mogoče prepoznati benigne konstrukcije kode, ki tvorijo omejene, a potencialno izkorišljive naprave SLS na prizadetih CPE-jih. Kot je prikazano na primeru eBPF, je ranljivost mogoče izkoristiti tudi z ročno izdelanimi napravami, ki se sami vbrizgajo. Predstavljeno metodo je mogoče uporabiti na primer za prekinitev ublažitve KASLR jedra Linuxa.
Raziskovalci so na primer pripravili izkoriščanje, ki vam omogoča, da določite postavitev naslova in zaobidete zaščitni mehanizem KASLR (naključno pomnilnik jedra) z izvajanjem kode brez privilegijev v podsistemu jedra eBPF, poleg drugih scenarijev napada, ki bi lahko uhajali v vsebina pomnilnika jedra ni izključena.
Končno če te zanima kaj več o tem, lahko preverite podrobnosti V naslednji povezavi.