Ang proyekto kamakailan Ipinakilala ang Grsecurity sa pamamagitan ng isang publikasyon mga detalye at isang demo isang paraan ng pag-atake para sa isang bagong kahinaan (nakalista na bilang CVE-2021-26341) sa mga processor ng AMD na nauugnay sa pagpapatupad ng mga ispekulatibong tagubilin pagkatapos ng walang kundisyong pagtalon-pasulong na mga operasyon.
Kakayahang mangyari nagbibigay-daan sa processor na magproseso ng haka-haka ang pagtuturo kaagad pagkatapos ng jump (SLS) na pagtuturo sa memorya sa panahon ng speculative execution. Kasabay nito, gumagana ang naturang pag-optimize hindi lamang para sa mga operator ng conditional jump, kundi pati na rin para sa mga tagubilin na may kasamang direktang unconditional jump, gaya ng JMP, RET, at CALL.
Ang walang kondisyong mga tagubilin sa sangay ay maaaring sundan ng arbitrary na data na hindi nilayon para sa pagpapatupad. Matapos matukoy na ang sangay ay hindi nagsasangkot ng pagpapatupad ng susunod na pahayag, ibinabalik lamang ng processor ang estado at binabalewala ang haka-haka na pagpapatupad, ngunit ang bakas ng pagpapatupad ng pagtuturo ay nananatili sa pangkalahatang cache at magagamit para sa pagsusuri gamit ang mga paraan ng pagkuha ng side-channel.
Nagbibigay ang AMD ng update para sa isang inirerekomendang pagpapagaan, ang G-5 mitigation, sa "Software Techniques for Managing Speculation in AMD Processors" whitepaper. Tumutulong ang G-5 mitigation na matugunan ang mga potensyal na kahinaan na nauugnay sa haka-haka na pag-uugali ng mga tagubilin ng sangay.
Ang mga processor ng AMD ay maaaring pansamantalang magsagawa ng mga tagubilin kasunod ng isang unconditional forward branch na maaaring magresulta sa aktibidad ng cache
Tulad ng pagsasamantala sa Spectre-v1, ang isang pag-atake ay nangangailangan ng pagkakaroon ng ilang mga pagkakasunod-sunod ng mga tagubilin (gadget) sa kernel, na humahantong sa speculative execution.
Sa kasong ito, ang pagharang sa isang kahinaan ay nauuwi sa pagtukoy sa mga naturang device sa code at pagdaragdag ng mga karagdagang tagubilin sa mga iyon na humaharang sa speculative execution. Ang mga kundisyon para sa speculative execution ay maaari ding gawin gamit ang mga non-privileged program na tumatakbo sa eBPF virtual machine.
Ang pagsisiyasat na ito ay nagresulta sa pagtuklas ng isang bagong kahinaan, CVE-2021-26341 [1] , na tatalakayin natin nang detalyado sa artikulong ito. Gaya ng dati, tututukan natin ang mga teknikal na aspeto ng kahinaan, ang mga pagpapagaan na iminungkahi ng AMD, at ang mga aspeto ng pagsasamantala.
Para harangan ang kakayahang bumuo ng mga device gamit ang eBPF, inirerekumenda na huwag paganahin ang unprivileged access sa eBPF sa sistema ("sysctl -w kernel.unprivileged_bpf_disabled=1").
Ang kahinaan ay nakakaapekto sa mga processor batay sa Zen1 at Zen2 microarchitecture:
Mesa
- AMD Athlon™ X4 processor
- AMD Ryzen™ Threadripper™ PRO Processor
- XNUMXnd Generation AMD Ryzen™ Threadripper™ Processor
- XNUMXrd Generation AMD Ryzen™ Threadripper™ Processors
- XNUMXth Generation AMD A-series APU
- Mga Proseso ng Desktop ng AMD Ryzen™ 2000 Series
- Mga Proseso ng Desktop ng AMD Ryzen™ 3000 Series
- AMD Ryzen™ 4000 Series Desktop Processors na may Radeon™ Graphics
Mobile
- AMD Ryzen™ 2000 Series Mobile Processor
- AMD Athlon™ 3000 Series Mobile Processors na may Radeon™ Graphics
- AMD Ryzen™ 3000 Series Mobile Processors o XNUMXnd Generation AMD Ryzen™ Mobile Processors na may Radeon™ Graphics
- AMD Ryzen™ 4000 Series Mobile Processors na may Radeon™ Graphics
- AMD Ryzen™ 5000 Series Mobile Processors na may Radeon™ Graphics
Chromebook
- AMD Athlon™ Mobile Processors na may Radeon™ Graphics
Server
- Mga Proseso ng Unang Henerasyon ng AMD EPYC™
- XNUMXnd Generation AMD EPYC™ Processors
Nabanggit na kung matagumpay ang pag-atake, ang kahinaan ay nagpapahintulot sa nilalaman ng mga arbitrary na lugar ng memorya na matukoy.
Dahil sa kahinaang ito, posibleng matukoy ang mga benign code construct na bumubuo ng limitado ngunit potensyal na mapagsamantalang mga SLS device sa mga apektadong CPU. Gaya ng ipinakita sa halimbawa ng eBPF, posible ring samantalahin ang kahinaan gamit ang hand-built, self-injected na device. Ang ipinakita na paraan ay maaaring gamitin, halimbawa, upang masira ang KASLR mitigation ng Linux kernel.
Halimbawa, naghanda ang mga mananaliksik ng pagsasamantala na nagpapahintulot sa iyo na matukoy ang layout ng address at i-bypass ang mekanismo ng proteksyon ng KASLR (kernel memory randomization) sa pamamagitan ng pagpapatupad ng code na walang mga pribilehiyo sa eBPF kernel subsystem, bilang karagdagan sa Iba pang mga sitwasyon ng pag-atake na maaaring tumagas sa ang mga nilalaman ng memorya ng kernel ay hindi ibinukod.
Sa wakas kung interesado kang malaman ang kaunti pa tungkol dito, maaari mong suriin ang mga detalye Sa sumusunod na link.