Raziskovalci z Vrije Universiteit Amsterdam dal vedeti, prek objave na blogu, do "Training Solo, nova družina napadov Spectre-v2 ki izkoriščajo pomanjkljivosti v špekulativnem napovedovanju, da bi prebili varnostne meje med privilegiranimi in neprivilegiranimi prostori izvajanja, kar neposredno vpliva na Intelove procesorje.
Nove tehnike omogoči pridobivanje občutljive vsebine iz jedra ali hipervizor s hitrostmi do 17 KB na sekundo, tudi v sistemih, ki izvajajo sodobne blažilne ukrepe, kot so IBPB, eIBRS ali BHI_NO.
Training Solo, novi obraz Spectre-v2 se ponovno pojavi z močjo
Od svojega odkritja je Spectre-v2 zaradi svoje špekulativne narave in "ene od najtežjih kategorij ranljivosti za omilitev".»Samostojni trening«, se spet pojavi ključni problem, saj ne potrebuje nobene kode, ki bi jo nadzoroval napadalec, da bi vplivala na napovedovalec vej, temveč se za učenje napovedovalca iz uporabniškega prostora zanaša na obstoječe fragmente kode (pripomočke) znotraj jedra ali hipervizorja.
Naše delo dokazuje, da lahko napadalci špekulativno ugrabijo nadzorni tok znotraj iste domene (npr. jedra) in puščajo skrivnosti prek meja privilegijev, s čimer oživijo klasične scenarije Spectre-v2, ne da bi se zanašali na zmogljive peskovnike, kot je eBPF. Ustvarili smo nov testni niz za analizo napovedovalca vej v scenariju samostojnega učenja.
Raziskovalci so pokazali, da z manipuliranjem teh pripomočkov (npr. uporaba filtrov SECCOMP, ki temeljijo na cBPF) špekulativno izvedbo je mogoče sprožiti ki pušča podatke iz privilegiranega sistema.
S to tehniko, imenovano "individualni trening", Zgodovina napovedovalca se lahko spremeni vilic tako da med špekulativnim izvajanjem pride do napačnih skokov, s ciljem uhajanja vsebine pomnilnika zaradi stranskih učinkov v predpomnilniku.
P Samostojni napadi za trening so na voljo v treh različicah, pri čemer vsak izkorišča različne slabosti:
- Upravljanje zgodovine vej s pripomočki jedraIzkorišča sistemske klice, kot je SECCOMP, kjer lahko filtri povzročijo lažne špekulativne veje, ki puščajo pomnilnik s hitrostjo 1,7 KB/s na procesorjih Intel Tiger Lake in Lion Cove.
- Trki kazalcev ukazov (IP) v medpomnilniku napovedovanja vej (BTB): Tukaj lahko dve različni posredni veji vplivata druga na drugo, če se njuni naslovi v medpomnilniku srečajo, kar omogoča napačno napovedovanje špekulativnih ciljev.
- Vplivi med neposrednimi in posrednimi vejami: Ta tehnika, ki temelji na dveh specifičnih ranljivostih (CVE-2024-28956 (ITS) in CVE-2025-24495), izkorišča, kako lahko neposredne veje vplivajo na napoved posrednih vej. S tem pristopom je bila zgoščena vrednost gesla root obnovljena po zagonu ukaza passwd -s v samo 60 sekundah.
Naše delo se osredotoča na prebijanje izolacije domene z uporabo napadov s samostojnim učenjem. Vendar pa težave s strojno opremo, odkrite v našem testnem naboru, vplivajo tudi na implementacijo izolacije, saj smo predvidevali, da se neposredne veje ne bodo uporabljale za učenje posrednih vej.
Vpliv in obseg novih ranljivosti
Napadi vpliva na širok spekter Intelovih procesorjev, vključno s priljubljenimi linijami, kot so Coffee Lake, Tiger Lake, Ice Lake in Rocket Lake, ter strežniki Xeon 2. in 3. generacije. Poleg tega sta arhitekturi Lunar Lake in Arrow Lake ranljivi tudi zaradi CVE-2025-24495.
Da bi ublažili te napade, Intel je izdal posodobitev mikrokode ki uvaja novo navodilo: IBHF (Indirect Branch History Fence), zasnovano za preprečevanje kontaminacije zgodovine vej. To spremembo je treba izrecno implementirati po vsaki kodi, ki vpliva na napovedovalec vej. Za starejše procesorje je priporočljiva uporaba programskih rešitev, ki ročno brišejo zgodovino.
Razvijalci jedra pa so s svoje strani Linux je že začel vgrajevati popravke za preprečevanje teh tehnik, vključno z ukrepi, ki premestijo posredne skoke iz občutljivih območij predpomnilnika in zaščito pred cBPF.
AMD je s svoje strani potrdil, da Te tehnike ne vplivajo na vaše procesorje. ARM je nakazal, da bodo izpostavljeni le njegovi starejši čipi, brez podpore za razširitvi FEAT_CSV2_3 in FEAT_CLRBHB.
Končno, če vas zanima več o tem, si lahko ogledate podrobnosti V naslednji povezavi.