Studiues nga Universiteti Vrije Amsterdam bëhet e ditur, përmes një postimi në blog, për të "Training Solo, një familje e re sulmesh Spectre-v2 që shfrytëzojnë të metat në parashikimin spekulativ për të thyer kufijtë e sigurisë midis hapësirave të ekzekutimit të privilegjuara dhe të paprivilegjuara, duke ndikuar drejtpërdrejt në CPU-të e Intel.
Teknikat e reja lejon që përmbajtja e ndjeshme të nxirret nga bërthama ose hipervizori me shpejtësi deri në 17 KB për sekondë, madje edhe në sisteme që zbatojnë zbutje moderne si IBPB, eIBRS ose BHI_NO.
Training Solo, fytyra e re e Spectre-v2 rishfaqet me forcë
Që nga zbulimi i tij, Spectre-v2 ka qenë një nga klasat më të vështira të dobësive për t'u zbutur për shkak të natyrës së tij spekulative dhe ""Trajnim Solo", përsëri prezantohet një problem thelbësor, meqenëse nuk kërkon ndonjë kod të kontrolluar nga sulmuesi për të ndikuar në parashikuesin e degës, por në vend të kësaj mbështetet në fragmente kodi ekzistuese (pajisje) brenda bërthamës ose hipervizorit për të trajnuar parashikuesin nga hapësira e përdoruesit.
Puna jonë tregon se sulmuesit mund të rrëmbejnë në mënyrë spekulative rrjedhën e kontrollit brenda të njëjtit domen (p.sh., bërthamën) dhe të zbulojnë sekrete përtej kufijve të privilegjeve, duke ringjallur skenarët klasikë të Spectre-v2 pa u mbështetur në sandbox-e të fuqishme si eBPF. Ne krijuam një set të ri testesh për të analizuar parashikuesin e degës në një skenar vetë-trajnimi.
Los hetues kanë treguar se duke manipuluar këto pajisje (p.sh., duke përdorur filtrat SECCOMP të bazuar në cBPF) ekzekutimi spekulativ mund të induktohet që rrjedh të dhëna nga sistemi i privilegjuar.
Përmes kësaj teknike, të quajtur "trajnim individual", historia e parashikuesit mund të ndryshohet e pirunëve në mënyrë që të ndodhin kërcime të pasakta gjatë ekzekutimit spekulativ, me qëllim rrjedhjen e përmbajtjes së memories përmes efekteve anësore në memorien e përkohshme.
L Sulmet Solo të Trajnimit vijnë në tre variante, secili duke përfituar nga dobësi të ndryshme:
- Manipulimi i historikut të degëve me pajisjet e kernelitShfrytëzon thirrjet e sistemit si SECCOMP, ku filtrat mund të shkaktojnë degë spekulative të rreme, duke rrjedhur memorie me shpejtësi prej 1,7 KB/s në CPU-të Intel Tiger Lake dhe Lion Cove.
- Përplasjet e treguesve të udhëzimeve (IP) në bufferin e parashikimit të degëve (BTB): Këtu, dy degë të ndryshme indirekte mund të ndikojnë te njëra-tjetra nëse adresat e tyre përplasen në buffer, duke lejuar që destinacionet spekulative të parashikohen gabimisht.
- Ndikimet midis degëve të drejtpërdrejta dhe të tërthorta: Kjo teknikë, e bazuar në dy dobësi specifike (CVE-2024-28956 (ITS) dhe CVE-2025-24495), shfrytëzon mënyrën se si degët direkte mund të ndikojnë në parashikimin e degëve indirekte. Duke përdorur këtë qasje, hash-i i fjalëkalimit root u rikuperua pas ekzekutimit të passwd -s në vetëm 60 sekonda.
Puna jonë përqendrohet në thyerjen e izolimit të domenit nga dizajni përmes sulmeve vetë-trajnuese. Megjithatë, problemet e harduerit të zbuluara në grupin tonë të testimit ndikojnë gjithashtu në zbatimin e izolimit, pasi supozohej se degët direkte nuk do të përdoren për trajnimin e degëve indirekte.
Ndikimi dhe fushëveprimi i dobësive të reja
Sulmet ndikojnë në një gamë të gjerë të CPU-ve Intel, duke përfshirë linja të njohura si Coffee Lake, Tiger Lake, Ice Lake dhe Rocket Lake, si dhe serverë Xeon të gjeneratës së dytë dhe të tretë. Për më tepër, arkitekturat Lunar Lake dhe Arrow Lake janë gjithashtu të cenueshme nën CVE-2-3.
Për të zbutur këto sulme, Intel ka publikuar një përditësim të mikrokodit i cili prezanton një udhëzim të ri: IBHF (Gardhi i tërthortë i Historisë së Degëve), i projektuar për të parandaluar kontaminimin e historikut të degëve. Ky ndryshim duhet të zbatohet në mënyrë të qartë pas çdo kodi që ndikon në parashikuesin e degës. Për CPU-të më të vjetra, është rekomanduar përdorimi i zgjidhjeve softuerike që e fshijnë manualisht historikun.
Nga ana e tyre, zhvilluesit e kernelit të Linux tashmë ka filluar të integrojë patch-e për të kundërshtuar këto teknika., duke përfshirë masat që zhvendosin kërcimet indirekte nga zonat e ndjeshme të memorjes së përkohshme dhe mbrojtjen kundër cBPF-së.
AMD, nga ana e saj, e ka konfirmuar këtë Këto teknika nuk ndikon në procesorët tuaj. ARM tregoi se vetëm çipat e saj më të vjetër, pa mbështetje për shtesat FEAT_CSV2_3 dhe FEAT_CLRBHB, do të ekspozoheshin.
Së fundi, nëse jeni të interesuar të dini më shumë rreth tij, mund të konsultoheni me detajet Në lidhjen vijuese.