โครงการล่าสุด Grsecurity เป็นที่รู้จักผ่านสิ่งพิมพ์ รายละเอียดและการสาธิต วิธีการโจมตีสำหรับช่องโหว่ใหม่ (ระบุอยู่แล้วว่า CVE-2021-26341) ในโปรเซสเซอร์ AMD ที่เกี่ยวข้องกับการดำเนินการคำสั่งแบบคาดเดาหลังจากการดำเนินการข้ามไปข้างหน้าแบบไม่มีเงื่อนไข
ช่องโหว่ อนุญาตให้โปรเซสเซอร์ประมวลผลเก็งกำไร คำสั่งทันทีหลังจากคำสั่งกระโดด (SLS) ในหน่วยความจำระหว่างการดำเนินการเก็งกำไร ในเวลาเดียวกัน การปรับให้เหมาะสมดังกล่าวไม่เพียงแต่ใช้ได้กับโอเปอเรเตอร์กระโดดแบบมีเงื่อนไขเท่านั้น แต่ยังสำหรับคำแนะนำที่เกี่ยวข้องกับการข้ามแบบไม่มีเงื่อนไขโดยตรง เช่น JMP, RET และ CALL
คำสั่งสาขาที่ไม่มีเงื่อนไขสามารถตามด้วยข้อมูลที่กำหนดเองซึ่งไม่ได้มีไว้สำหรับการดำเนินการ หลังจากพิจารณาแล้วว่าสาขาไม่เกี่ยวข้องกับการดำเนินการคำสั่งถัดไป โปรเซสเซอร์เพียงแค่ย้อนกลับสถานะและละเว้นการดำเนินการเก็งกำไร แต่การติดตามการดำเนินการคำสั่งยังคงอยู่ในแคชทั่วไปและพร้อมสำหรับการวิเคราะห์โดยใช้วิธีการดึงช่องทางด้านข้าง
AMD ได้จัดเตรียมการอัปเดตสำหรับการบรรเทาปัญหาที่แนะนำ ซึ่งก็คือการบรรเทา G-5 ในเอกสารไวท์เปเปอร์ "เทคนิคซอฟต์แวร์สำหรับการจัดการการเก็งกำไรในโปรเซสเซอร์ AMD" การบรรเทาผลกระทบ G-5 ช่วยแก้ไขช่องโหว่ที่อาจเกิดขึ้นซึ่งเกี่ยวข้องกับพฤติกรรมการเก็งกำไรของคำสั่งสาขา
โปรเซสเซอร์ AMD อาจดำเนินการคำสั่งชั่วคราวตามสาขาการส่งต่อที่ไม่มีเงื่อนไขซึ่งอาจส่งผลให้เกิดกิจกรรมแคช
เช่นเดียวกับการเอารัดเอาเปรียบของ Spectre-v1, การโจมตีต้องมีลำดับที่แน่นอน ของคำสั่ง (gadgets) ในเคอร์เนลซึ่งนำไปสู่การดำเนินการเก็งกำไร
ในกรณีนี้ การบล็อกจุดอ่อนทำให้เกิดการระบุอุปกรณ์ดังกล่าวในโค้ดและเพิ่มคำแนะนำเพิ่มเติมเพื่อบล็อกการดำเนินการเก็งกำไร เงื่อนไขสำหรับการดำเนินการเก็งกำไรสามารถสร้างได้โดยใช้โปรแกรมที่ไม่มีสิทธิพิเศษที่ทำงานบนเครื่องเสมือน eBPF
การตรวจสอบนี้ส่งผลให้เกิดการค้นพบช่องโหว่ใหม่ CVE-2021-26341 [1] ซึ่งเราจะกล่าวถึงในรายละเอียดในบทความนี้ เช่นเคย เราจะเน้นที่ด้านเทคนิคของช่องโหว่ การบรรเทาปัญหาที่ AMD แนะนำ และแง่มุมของการแสวงหาผลประโยชน์
เพื่อบล็อกความสามารถในการสร้างอุปกรณ์โดยใช้ eBPF ขอแนะนำให้ปิดใช้งานการเข้าถึง eBPF . ที่ไม่มีสิทธิพิเศษ ในระบบ ("sysctl -w kernel.unprivileged_bpf_disabled=1«)
ช่องโหว่ส่งผลกระทบต่อโปรเซสเซอร์ที่ใช้สถาปัตยกรรมไมโคร Zen1 และ Zen2:
เคาน์เตอร์
- โปรเซสเซอร์ AMD Athlon™ X4
- โปรเซสเซอร์ AMD Ryzen™ Threadripper™ PRO
- โปรเซสเซอร์ AMD Ryzen™ Threadripper™ รุ่นที่ XNUMX
- โปรเซสเซอร์ AMD Ryzen™ Threadripper™ เจนเนอเรชั่นที่ XNUMX
- AMD A-series APU รุ่นที่ XNUMX
- โปรเซสเซอร์เดสก์ท็อป AMD Ryzen™ 2000 Series
- โปรเซสเซอร์เดสก์ท็อป AMD Ryzen™ 3000 Series
- เดสก์ท็อปโปรเซสเซอร์ AMD Ryzen™ 4000 Series พร้อมกราฟิก Radeon™
มือถือ
- โปรเซสเซอร์โมบายล์ AMD Ryzen™ 2000 Series
- โปรเซสเซอร์โมบายล์ AMD Athlon™ 3000 Series พร้อมกราฟิก Radeon™
- โปรเซสเซอร์โมบายล์ AMD Ryzen™ 3000 Series หรือโปรเซสเซอร์โมบายล์ AMD Ryzen™ เจนเนอเรชั่น XNUMX พร้อมกราฟิก Radeon™
- โปรเซสเซอร์โมบายล์ AMD Ryzen™ 4000 Series พร้อมกราฟิก Radeon™
- โปรเซสเซอร์โมบายล์ AMD Ryzen™ 5000 Series พร้อมกราฟิก Radeon™
Chromebook
- โปรเซสเซอร์โมบายล์ AMD Athlon™ พร้อมกราฟิก Radeon™
เซิร์ฟเวอร์
- โปรเซสเซอร์ AMD EPYC™ รุ่นแรก
- โปรเซสเซอร์ AMD EPYC™ รุ่นที่ XNUMX
ว่ากันว่าหากโจมตีสำเร็จ ช่องโหว่ดังกล่าวทำให้สามารถระบุเนื้อหาของพื้นที่หน่วยความจำตามอำเภอใจได้
เนื่องจากช่องโหว่นี้ จึงอาจเป็นไปได้ที่จะระบุโครงสร้างโค้ดที่ไม่เป็นอันตรายซึ่งสร้างอุปกรณ์ SLS ที่จำกัดแต่อาจใช้ประโยชน์ได้บน CPU ที่ได้รับผลกระทบ ดังที่แสดงในตัวอย่าง eBPF เป็นไปได้ที่จะใช้ประโยชน์จากช่องโหว่นี้ด้วยอุปกรณ์ที่สร้างขึ้นเองด้วยมือและฉีดเอง สามารถใช้วิธีการที่นำเสนอ เช่น เพื่อหยุดการลด KASLR ของเคอร์เนล Linux
ตัวอย่างเช่น นักวิจัยได้เตรียมการหาช่องโหว่ที่ให้คุณกำหนดเลย์เอาต์ของที่อยู่และเลี่ยงผ่านกลไกการป้องกัน KASLR (การสุ่มหน่วยความจำเคอร์เนล) โดยการรันโค้ดที่ไม่มีสิทธิ์ในระบบย่อยเคอร์เนล eBPF นอกเหนือจากสถานการณ์การโจมตีอื่นๆ ที่อาจรั่วไหล เนื้อหาของหน่วยความจำเคอร์เนลจะไม่ถูกตัดออก
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมเล็กน้อยเกี่ยวกับเรื่องนี้คุณสามารถตรวจสอบรายละเอียด ในลิงค์ต่อไปนี้.