En bugg i Linux 6.2 gjorde det möjligt att kringgå Spectre v2-attackskydd

Nyligen släpptes information om en sårbarhet identifierad i Linux 6.2-kärnan (redan listad under CVE-2023-1998) och som sticker ut för att det är det inaktivera Spectre v2-attackskydd som tillåter åtkomst till minne av andra processer som körs på olika SMT- eller Hyper Threading-trådar, men på samma fysiska processorkärna.

Sårbarhet är anmärkningsvärt bland annat pga kan användas för organisera dataläckage mellan virtuella maskiner i molnsystem. 

För de som inte känner till Spectre borde de veta att detta är en av de två ursprungliga CPU-sårbarheterna för tillfällig exekvering (den andra är Meltdown), som involverar mikroarkitektonisk timing av sidokanalattacker. Dessa påverkar moderna mikroprocessorer som utför hoppförutsägelser och andra former av spekulationer.

På de flesta processorer kan spekulativ exekvering till följd av en felaktig grenförutsägelse lämna observerbara bieffekter som kan avslöja privata data. Till exempel, om mönstret av minnesåtkomster som görs av en sådan spekulativ exekvering beror på privata data, utgör det resulterande tillståndet för datacchen en sidokanal genom vilken en angripare kan extrahera information om den privata datan med hjälp av en tidsattack.

Sedan avslöjandet av Spectre och Meltdown i januari 2018 har flera varianter och nya typer av sårbarhet relaterade till dem dykt upp.

Linux-kärnan tillåter processer för användarland att möjliggöra begränsningar genom att anropa prctl med PR_SET_SPECULATION_CTRL, vilket inaktiverar spec-funktionen, såväl som genom att använda seccomp. Vi upptäckte att på virtuella maskiner från minst en större molnleverantör lämnade kärnan fortfarande offerprocessen öppen för attack i vissa fall, även efter att ha aktiverat spectre-BTI-mitigation med prctl. 

Angående sårbarhet nämns att i användarutrymme, för att skydda mot attacker av Spectre, processer kan selektivt inaktivera exekvering spekulativa instruktioner med prctl PR_SET_SPECULATION_CTRL eller använd seccomp-baserad systemanropsfiltrering.

Enligt forskarna som identifierade problemet, felaktig optimering i kärnan 6.2 lämnade virtuella maskiner från minst en stor molnleverantör utan ordentligt skydd trots införandet av spöke-BTI-attackblockeringsläget via prctl. Sårbarheten visar sig även på vanliga servrar med kärna 6.2, som startas med konfigurationen "spectre_v2=ibrs".

Kärnan i sårbarhet är att genom att välja skyddssätt IBRS eller eIBRS, de gjorda optimeringarna inaktiverade användningen av STIBP-mekanismen (Single Thread Indirect Branch Predictors), som är nödvändig för att blockera läckor när man använder Simultaneous Multi-Threading (SMT eller Hyper-Threading) teknologi. )

I sin tur ger endast eIBRS-läget skydd mot läckor mellan trådar, inte IBRS-läget, eftersom IBRS-biten, som ger skydd mot läckor mellan logiska kärnor, rensas av prestandaskäl när kontrollen återgår till rymdanvändaren, vilket gör user-space-trådar oskyddade mot attacker från klassen Spectre v2.

Testet består av två processer. Angriparen förgiftar ständigt ett indirekt samtal för att spekulativt omdirigera det till en destinationsadress. Offerprocessen mäter fel prediktionshastighet och försöker mildra attacken genom att anropa PRCTL eller skriva till MSR direkt med hjälp av en kärnmodul som exponerar MSR:s läs- och skrivoperationer i användarutrymmet.

Problemet påverkar endast Linux 6.2-kärnan och beror på felaktig implementering av optimeringar utformade för att minska betydande omkostnader vid tillämpning av skydd mot Spectre v2. sårbarhet Det fixades i den experimentella Linux 6.3-kärngrenen.

Äntligen ja Är du intresserad av att lära dig mer om det? Du kan kontrollera detaljerna i följande länk.