Mga mananaliksik sa Free University of Amsterdam nagpakilala kamakailan ay natagpuan ang isa bagong kahinaan na isang pinahabang bersyon ng kahinaan ng Spectre-v2 sa mga processor ng Intel at ARM.
Ang bagong kahinaan na ito, kung saan nagbinyag bilang BHI (Branch History Injection, CVE-2022-0001), BHB (Branch History Buffer, CVE-2022-0002) at Spectre-BHB (CVE-2022-23960), ay nailalarawan sa pamamagitan ng pagpapahintulot sa pag-iwas sa mga mekanismo ng proteksyon ng eIBRS at CSV2 na idinagdag sa mga processor.
Ang kahinaan ay inilarawan sa iba't ibang mga pagpapakita ng parehong isyu, dahil ang BHI ay isang pag-atake na nakakaapekto sa iba't ibang antas ng pribilehiyo, halimbawa, isang proseso ng user at ang kernel, habang ang BHB ay isang pag-atake sa parehong antas ng pribilehiyo, halimbawa, eBPF JIT at ang kernel.
Tungkol sa kahinaan
Konseptwal, Ang BHI ay isang pinahabang variant ng pag-atake ng Spectre-v2, kung saan maiiwasan ang karagdagang proteksyon (Intel eIBRS at Arm CSV2) at ayusin ang pagtagas ng data, ang pagpapalit ng mga halaga sa buffer na may pandaigdigang kasaysayan ng sangay (Branch History Buffer), na ginagamit sa CPU para sa pagpapabuti ng katumpakan ng hula ng sangay sa pamamagitan ng pagsasaalang-alang sa kasaysayan ng mga nakaraang transisyon.
Sa kurso ng isang pag-atake sa pamamagitan ng mga manipulasyon sa kasaysayan ng mga transition, Ang mga kundisyon ay nilikha para sa maling hula ng paglipat at haka-haka na pagpapatupad ng mga kinakailangang tagubilin, na ang resulta ay idineposito sa cache.
Maliban sa paggamit ng buffer ng history ng bersyon sa halip na isang buffer na target ng bersyon, ang bagong pag-atake ay kapareho ng Spectre-v2. Ang gawain ng umaatake ay lumikha ng mga kundisyon na ang address, kapag nagsasagawa ng isang haka-haka na operasyon, ito ay kinuha mula sa lugar ng data na tinutukoy.
Pagkatapos magsagawa ng speculative indirect jump, ang jump address na nabasa mula sa memorya ay nananatili sa cache, pagkatapos kung saan ang isa sa mga pamamaraan para sa pagtukoy ng mga nilalaman ng cache ay maaaring gamitin upang makuha ito batay sa pagsusuri ng pagbabago sa oras ng pag-access sa cache at hindi naka-cache. datos.
Nagpakita ang mga mananaliksik ng isang functional na pagsasamantala na nagbibigay-daan sa espasyo ng gumagamit na kunin ang arbitrary na data mula sa memorya ng kernel.
Halimbawa, ipinapakita nito kung paano, gamit ang inihandang pagsasamantala, posibleng mag-extract mula sa mga buffer ng kernel ng isang string na may hash ng password ng root user, na na-load mula sa /etc/shadow file.
Ang pagsasamantala ay nagpapakita ng kakayahang samantalahin ang kahinaan sa loob ng isang antas ng pribilehiyo (kernel-to-kernel attack) gamit ang isang eBPF program na puno ng user. Ang posibilidad ng paggamit ng umiiral na mga gadget ng Spectre sa kernel code, mga script na humahantong sa speculative execution ng mga tagubilin, ay hindi rin inaalis.
Kakayahang mangyari lumilitaw sa karamihan sa mga kasalukuyang processor ng Intel, maliban sa pamilya ng Atom ng mga processor at sa ilan sa mga processor ng ARM.
Ayon sa pananaliksik, ang kahinaan ay hindi nagpapakita mismo sa mga processor ng AMD. Upang malutas ang problema, ilang mga pamamaraan ang iminungkahi. software upang harangan ang kahinaan, na maaaring magamit bago ang paglitaw ng proteksyon ng hardware sa hinaharap na mga modelo ng CPU.
Upang harangan ang mga pag-atake sa pamamagitan ng eBPF subsystem, sInirerekomenda na huwag paganahin bilang default ang kakayahang mag-load ng mga programang eBPF ng mga walang pribilehiyong user sa pamamagitan ng pagsulat ng 1 sa file na “/proc/sys/kernel/unprivileged_bpf_disabled” o sa pamamagitan ng pagpapatakbo ng command na “sysctl -w kernel .unprivileged_bpf_disabled=1”.
Upang harangan ang mga pag-atake sa pamamagitan ng mga gadget, inirerekumenda na gamitin ang pagtuturo ng LFENCE sa mga seksyon ng code na posibleng humantong sa speculative execution. Kapansin-pansin na ang default na configuration ng karamihan sa mga distribusyon ng Linux ay naglalaman na ng mga kinakailangang hakbang sa proteksyon na sapat upang harangan ang pag-atake ng eBPF na ipinakita ng mga mananaliksik.
Ang mga rekomendasyon ng Intel na huwag paganahin ang walang pribilehiyong pag-access sa eBPF ay nalalapat din bilang default simula sa Linux kernel 5.16 at ipo-port sa mga naunang sangay.
Panghuli, kung interesado kang malaman ang higit pa tungkol dito, maaari mong konsultahin ang mga detalye sa sumusunod na link.