Projektet nyligen Grsecurity meddelade genom en publikation detaljer och en demonstration av en attackmetod för en ny sårbarhet (redan katalogiserad som CVE-2021-26341) på AMD-processorer relaterade till exekvering av spekulativa instruktioner efter ovillkorliga hopp framåt.
Sårbarhet tillåter processorn att bearbeta spekulativt instruktionen omedelbart efter hoppinstruktionen (SLS) i minnet under spekulativ exekvering. Samtidigt fungerar sådan optimering inte bara för villkorliga hoppoperatörer, utan också för instruktioner som involverar ett direkt ovillkorligt hopp, såsom JMP, RET och CALL.
Ovillkorliga greninstruktioner kan följas av godtyckliga data som inte är avsedda för exekvering. Efter att ha fastställt att grenen inte inbegriper exekvering av nästa uttalande, processorn rullar helt enkelt tillbaka tillståndet och tar inte hänsyn till spekulativ exekvering, men spåret av instruktionsexekveringen finns kvar i den allmänna cachen och är tillgänglig för analys med hjälp av sidokanalsåterställningsmetoder.
AMD tillhandahåller en uppdatering för en rekommenderad begränsning, G-5-reducering, i vitboken "Software Techniques for Managing Speculation on AMD-processors". G-5-reduceringen hjälper till att åtgärda potentiella sårbarheter i samband med spekulativt beteende hos greninstruktioner.
AMD-processorer kan tillfälligt exekvera instruktioner efter en ovillkorlig framåtgren som kan resultera i cacheaktivitet
Som med utnyttjandet av Spectre-sårbarheten-v1, en attack kräver närvaron av vissa sekvenser av instruktioner (prylar) i kärnan, vilket leder till spekulativ exekvering.
I det här fallet handlar det om att blockera en sårbarhet att identifiera sådana enheter i koden och lägga till ytterligare instruktioner till dem som blockerar spekulativ exekvering. Villkor för spekulativ exekvering kan också skapas med hjälp av oprivilegierade program som körs på den virtuella eBPF-maskinen.
Denna undersökning resulterade i upptäckten av en ny sårbarhet, CVE-2021-26341 [1] , som vi kommer att diskutera i detalj i den här artikeln. Som vanligt kommer vi att fokusera på de tekniska aspekterna av sårbarheten, AMD:s föreslagna begränsningar och utnyttjandeaspekter.
För att blockera möjligheten att bygga enheter med eBPF, det rekommenderas att inaktivera oprivilegierad åtkomst till eBPF i systemet ("sysctl -w kernel.unprivileged_bpf_disabled=1").
Sårbarheten påverkar processorer baserade på Zen1- och Zen2-mikroarkitekturen:
Desk
- AMD Athlon™ X4-processor
- AMD Ryzen™ Threadripper™ PRO-processor
- Andra generationens AMD Ryzen™ Threadripper™-processorer
- XNUMX:e generationens AMD Ryzen™ Threadripper™-processorer
- XNUMX:e generationens AMD A-serie APU:er
- AMD Ryzen™ 2000-seriens stationära processorer
- AMD Ryzen™ 3000-seriens stationära processorer
- AMD Ryzen™ 4000-seriens stationära processorer med Radeon™-grafik
Mobil
- AMD Ryzen™ 2000-seriens mobila processor
- AMD Athlon™ 3000-seriens mobila processorer med Radeon™-grafik
- AMD Ryzen™ 3000-seriens mobila processorer eller XNUMX:a generationens AMD Ryzen™ mobila processorer med Radeon™-grafik
- AMD Ryzen™ 4000-seriens mobila processorer med Radeon™-grafik
- AMD Ryzen™ 5000-seriens mobila processorer med Radeon™-grafik
Chromebook
- AMD Athlon™ mobila processorer med Radeon™-grafik
server
- Första generationens AMD EPYC™-processorer
- Andra generationens AMD EPYC™-processorer
Det nämns att om attacken lyckas, Sårbarheten gör att innehållet i godtyckliga minnesområden kan bestämmas.
På grund av denna sårbarhet kan det vara möjligt att identifiera godartade kodkonstruktioner som på påverkade processorer bildar begränsade, men potentiellt exploateringsbara, SLS-enheter. Som visats med eBPF-exemplet är det också möjligt att utnyttja sårbarheten med manuellt konstruerade och självinjicerade enheter. Den presenterade metoden kan till exempel användas för att bryta KASLR-reduceringen av Linux-kärnan.
Forskare har till exempel förberett ett utnyttjande som låter dig bestämma adresslayouten och kringgå KASLR-skyddsmekanismen (kärnminnesrandomisering) genom att exekvera oprivilegierad kod i eBPF-kärnundersystemet, förutom Andra attackscenarier som kan läcka innehållet i kärnan minne är inte uteslutet.
Slutligen om du är intresserad av att veta lite mer om detkan du kontrollera detaljerna I följande länk.