Forskare vid Free University of Amsterdam gjort känt De hittade nyligen en ny sårbarhet som är en utökad version av Spectre-v2-sårbarheten på Intel- och ARM-processorer.
Denna nya sårbarhet, som har blivit döpta som IHB (Branch History Injection, CVE-2022-0001), BHB (Branch History Buffer, CVE-2022-0002) och Spectre-BHB (CVE-2022-23960), kännetecknas av att tillåta kringgående av eIBRS- och CSV2-skyddsmekanismer som läggs till processorer.
Sårbarheten beskrivs i olika manifestationer av samma problem, eftersom BHI är en attack som påverkar olika behörighetsnivåer, till exempel en användarprocess och kärnan, medan BHB är en attack på samma behörighetsnivå, t.ex. eBPF JIT och kärna.
Om sårbarhet
Konceptuellt BHI är en utökad variant av Spectre-v2-attacken, där man kan kringgå ytterligare skydd (Intel eIBRS och Arm CSV2) och organisera dataläckage, ersätter värden i bufferten med en global filialhistorik (Branch History Buffer), som används i CPU:n för att förbättra förutsägelsens noggrannhet genom att ta ta hänsyn till tidigare övergångars historia.
Under en attack genom manipulationer med övergångarnas historia, förutsättningar skapas för felaktig övergångsförutsägelse och spekulativt utförande av de nödvändiga instruktionerna, vars resultat deponeras i cachen.
Med undantag för att använda en versionshistorikbuffert istället för en versionsmålsbuffert, är den nya attacken identisk med Spectre-v2. Angriparens uppgift är att skapa sådana förutsättningar att riktningen, när du utför en spekulativ operation tas den från området för data som bestäms.
Efter att ha utfört ett spekulativt indirekt hopp, finns hoppadressen som läses från minnet kvar i cachen, varefter en av metoderna för att bestämma innehållet i cachen kan användas för att hämta den baserat på en analys av förändringen i cacheminnets åtkomsttid och uncachad data.
Forskare har visat ett fungerande utnyttjande som tillåter användarutrymme att extrahera godtycklig data från kärnminnet.
Det visas till exempel hur det med den förberedda exploateringen är möjligt att extrahera från kärnbuffertarna en sträng med en hash av rootanvändarens lösenord, laddad från filen /etc/shadow.
Exploateringen demonstrerar förmågan att utnyttja sårbarheten inom en enda behörighetsnivå (kärna-till-kärna-attack) med ett användarladdat eBPF-program. Möjligheten att använda befintliga Spectre-prylar i kärnkoden, skript som leder till spekulativ exekvering av instruktioner, är inte heller utesluten.
Sårbarhet visas på de flesta aktuella Intel-processorer, med undantag för Atom-familjen av processorer och i flera av ARM-processorerna.
Enligt forskningen visar sig sårbarheten inte i AMD-processorer. För att lösa problemet har flera metoder föreslagits. programvara för att blockera sårbarheten, som kan användas före uppkomsten av hårdvaruskydd i framtida CPU-modeller.
För att blockera attacker genom eBPF-delsystemet, sDet rekommenderas att som standard inaktivera möjligheten att ladda eBPF-program av oprivilegierade användare genom att skriva 1 till filen "/proc/sys/kernel/unprivileged_bpf_disabled" eller genom att köra kommandot "sysctl -w kernel .unprivileged_bpf_disabled=1".
För att blockera attacker genom prylar, det rekommenderas att använda LFENCE-satsen i avsnitt av kod som potentiellt leder till spekulativ exekvering. Det är anmärkningsvärt att standardkonfigurationen för de flesta Linux-distributioner redan innehåller de nödvändiga skyddsåtgärderna som är tillräckliga för att blockera eBPF-attacken som demonstrerats av forskarna.
Intels rekommendationer att inaktivera oprivilegierad åtkomst till eBPF gäller också som standard från och med Linux 5.16-kärnan och kommer att porteras till tidigare grenar.
Slutligen, om du är intresserad av att kunna veta mer om det, kan du konsultera detaljerna i följande länk.