Mga mananaliksik mula sa Vrije Universiteit Amsterdam nagpakilala, sa pamamagitan ng isang post sa blog, sa "Pagsasanay sa Solo, isang bagong pamilya ng mga pag-atake ng Spectre-v2 na nagsasamantala ng mga kapintasan sa haka-haka na hula upang masira ang mga hangganan ng seguridad sa pagitan ng mga privileged at unprivileged execution space, na direktang nakakaapekto sa mga Intel CPU.
Ang mga bagong pamamaraan payagan ang sensitibong nilalaman na makuha mula sa kernel o ang hypervisor sa bilis na hanggang 17 KB bawat segundo, kahit na sa mga system na nagpapatupad ng mga modernong pagpapagaan gaya ng IBPB, eIBRS, o BHI_NO.
Pagsasanay sa Solo, ang bagong mukha ng Spectre-v2 ay muling lumabas nang may lakas
Mula nang matuklasan ito, ang Spectre-v2 ay isa sa pinakamahirap na klase ng mga kahinaan na pagaanin dahil sa likas na katangian nito at "Pagsasanay ng Solo», muli ang isang mahalagang problema ay ipinakilala, dahil hindi ito nangangailangan ng anumang code na kinokontrol ng attacker upang maimpluwensyahan ang tagahula ng sangay, ngunit sa halip ay umaasa sa mga umiiral na fragment ng code (mga gadget) sa loob ng kernel o hypervisor upang sanayin ang predictor mula sa espasyo ng user.
Ipinapakita ng aming trabaho na ang mga umaatake ay maaaring ispekulatibong i-hijack ang daloy ng kontrol sa loob ng parehong domain (hal., ang kernel) at mag-leak ng mga lihim sa mga hangganan ng pribilehiyo, na bubuhayin ang mga klasikong sitwasyon ng Spectre-v2 nang hindi umaasa sa mga malalakas na sandbox tulad ng eBPF. Gumawa kami ng bagong set ng pagsubok upang pag-aralan ang tagahula ng sangay sa isang sitwasyong self-training.
Ang mga mananaliksik ipinakita iyon sa pamamagitan ng pagmamanipula sa mga gadget na ito (hal. paggamit ng mga filter na SECCOMP na nakabatay sa cBPF) maaaring idulot ang speculative execution na naglalabas ng data mula sa privileged system.
Sa pamamagitan ng pamamaraang ito, na tinatawag na "indibidwal na pagsasanay", ang kasaysayan ng predictor ay maaaring mabago ng mga tinidor upang ang mga maling pagtalon ay mangyari sa panahon ng haka-haka na pagpapatupad, na may layuning mag-leak ng nilalaman ng memorya sa pamamagitan ng mga side effect sa cache.
Los Pagsasanay Ang mga pag-atake ng Solo ay may tatlong variant, sinasamantala ng bawat isa ang iba't ibang kahinaan:
- Pagmamanipula ng history ng branch gamit ang mga kernel gadget: Sinasamantala ang mga system call gaya ng SECCOMP, kung saan ang mga filter ay maaaring mag-udyok ng mga huwad na speculative branch, nag-leak ng memory sa mga rate na 1,7 KB/s sa Intel Tiger Lake at Lion Cove na mga CPU.
- Mga banggaan ng instruction pointer (IP) sa branch prediction buffer (BTB): Dito, maaaring maimpluwensyahan ng dalawang magkaibang di-tuwirang sangay ang isa't isa kung magbanggaan ang kanilang mga address sa buffer, na nagbibigay-daan sa maling hula sa mga speculative na destinasyon.
- Mga impluwensya sa pagitan ng direkta at hindi direktang mga sangay: Ang diskarteng ito, batay sa dalawang partikular na kahinaan (CVE-2024-28956 (ITS) at CVE-2025-24495), ay nagsasamantala kung paano maimpluwensyahan ng mga direktang sangay ang hula ng mga hindi direktang sangay. Gamit ang diskarteng ito, na-recover ang root password hash pagkatapos patakbuhin ang passwd -s sa loob lamang ng 60 segundo.
Nakatuon ang aming trabaho sa pagsira sa paghihiwalay ng domain sa pamamagitan ng disenyo sa pamamagitan ng mga pag-atake sa self-training. Gayunpaman, ang mga isyu sa hardware na nakita sa aming set ng pagsubok ay nakakaapekto rin sa pagpapatupad ng paghihiwalay, dahil ipinapalagay na ang mga direktang sangay ay hindi gagamitin para sa pagsasanay ng mga hindi direktang sangay.
Epekto at saklaw ng mga bagong kahinaan
Ang pag-atake nakakaapekto sa malawak na hanay ng mga Intel CPU, kabilang ang mga sikat na linya gaya ng Coffee Lake, Tiger Lake, Ice Lake at Rocket Lake, pati na rin ang 2nd at 3rd generation Xeon server. Bilang karagdagan, ang mga arkitektura ng Lunar Lake at Arrow Lake ay mahina din sa ilalim ng CVE-2025-24495.
Upang mabawasan ang mga pag-atakeng ito, Naglabas ang Intel ng microcode update na nagpapakilala ng bagong tagubilin: IBHF (Indirect Branch History Fence), na idinisenyo upang maiwasan ang kontaminasyon sa kasaysayan ng sangay. Ang pagbabagong ito ay dapat na tahasang ipatupad pagkatapos ng anumang code na nakakaapekto sa branch predictor. Para sa mga mas lumang CPU, inirerekumenda na gumamit ng mga solusyon sa software na manu-manong nililinis ang kasaysayan.
Para sa kanilang bahagi, ang mga kernel developer ng Sinimulan na ng Linux na isama ang mga patch upang kontrahin ang mga diskarteng ito, kabilang ang mga hakbang na naglilipat ng hindi direktang pagtalon palabas sa mga sensitibong lugar ng cache at proteksyon laban sa cBPF.
Ang AMD, para sa bahagi nito, ay nakumpirma na Ang mga diskarteng ito huwag makaapekto sa iyong mga processor. Isinaad ng ARM na tanging ang mga mas lumang chip nito, na walang suporta para sa mga extension ng FEAT_CSV2_3 at FEAT_CLRBHB, ang malalantad.
Sa wakas, kung interesado kang malaman ang higit pa tungkol dito, maaari mong konsultahin ang mga detalye Sa sumusunod na link.