Vrije Üniversitesi'nden araştırmacılar Amsterdam bilinen, bir blog yazısı aracılığıyla, "Spectre-v2 saldırılarının yeni bir ailesi olan Training Solo Ayrıcalıklı ve ayrıcalıksız yürütme alanları arasındaki güvenlik sınırlarını kırmak için spekülatif tahminlerdeki kusurlardan yararlanan ve doğrudan Intel CPU'larını etkileyen.
Yeni teknikler çekirdekten hassas içeriğin çıkarılmasına izin ver veya IBPB, eIBRS veya BHI_NO gibi modern azaltma yöntemlerini uygulayan sistemlerde bile saniyede 17 KB'a kadar hızlarda hipervizör.
Spectre-v2'nin yeni yüzü Training Solo, güçlü bir şekilde yeniden ortaya çıkıyor
Spectre-v2, keşfedildiği günden bu yana, spekülatif yapısı ve ""Solo Eğitim" yine önemli bir sorunla karşı karşıyadır, Çünkü dallanma tahmincisini etkilemek için saldırgan tarafından kontrol edilen herhangi bir koda ihtiyaç duymaz, bunun yerine tahminciyi kullanıcı alanından eğitmek için çekirdek veya hipervizör içindeki mevcut kod parçalarına (araçlara) güvenir.
Çalışmamız, saldırganların aynı etki alanı (örneğin çekirdek) içindeki kontrol akışını spekülatif olarak ele geçirebileceğini ve ayrıcalık sınırları boyunca sırları sızdırabileceğini, böylece eBPF gibi güçlü sanal ortamlara güvenmeden klasik Spectre-v2 senaryolarını yeniden canlandırabileceğini göstermektedir. Kendi kendini eğiten bir senaryoda dallanma tahmincisini analiz etmek için yeni bir test seti oluşturduk.
Araştırmacılar bu aletleri manipüle ederek gösterdiler (örneğin cBPF tabanlı SECCOMP filtrelerinden yararlanma) spekülatif yürütme teşvik edilebilir ayrıcalıklı sistemden veri sızdıran.
"Bireysel eğitim" adı verilen bu teknikle, tahmincinin geçmişi değiştirilebilir çatalların böylece spekülatif yürütme sırasında yanlış sıçramalar meydana gelir, önbellekteki yan etkiler yoluyla bellek içeriğinin sızdırılması amacıyla.
Jardines de Viveros Eğitim Solo saldırıları üç farklı şekilde gelirher biri farklı zayıflıklardan yararlanıyor:
- Çekirdek aygıtlarıyla dal geçmişini düzenleme: Intel Tiger Lake ve Lion Cove CPU'larında 1,7 KB/s hızında bellek sızıntısına neden olan filtrelerin sahte spekülatif dallara neden olabildiği SECCOMP gibi sistem çağrılarını kullanır.
- Dallanma tahmin tamponundaki (BTB) talimat işaretçisi (IP) çakışmaları: Burada, iki farklı dolaylı dal, adresleri tamponda çakışırsa birbirini etkileyebilir ve bu da spekülatif hedeflerin yanlış tahmin edilmesine olanak tanır.
- Doğrudan ve dolaylı dallar arasındaki etkiler: İki özel güvenlik açığına (CVE-2024-28956 (ITS) ve CVE-2025-24495) dayanan bu teknik, doğrudan dalların dolaylı dalların tahminini nasıl etkileyebileceğini istismar eder. Bu yaklaşım kullanılarak, passwd -s çalıştırıldıktan sadece 60 saniye sonra kök parola özeti kurtarıldı.
Çalışmalarımız, kendi kendini eğiten saldırılar yoluyla tasarıma dayalı alan izolasyonunu kırmaya odaklanmaktadır. Ancak test setimizde tespit edilen donanım sorunları, doğrudan dalların dolaylı dalları eğitmek için kullanılmayacağı varsayıldığından, izolasyonun uygulanmasını da etkilemektedir.
Yeni güvenlik açıklarının etkisi ve kapsamı
Saldırılar Intel CPU'larının geniş bir yelpazesini etkilerCoffee Lake, Tiger Lake, Ice Lake ve Rocket Lake gibi popüler hatların yanı sıra 2. ve 3. nesil Xeon sunucuları da dahil olmak üzere. Ayrıca Lunar Lake ve Arrow Lake mimarileri de CVE-2025-24495 kapsamında güvenlik açığına sahiptir.
Bu saldırıları azaltmak için, Intel bir mikro kod güncellemesi yayınladı Dallanma geçmişi kontaminasyonunu önlemek için tasarlanmış yeni bir talimat olan IBHF'yi (Dolaylı Dallanma Geçmişi Çiti) tanıtıyor. Bu değişiklik, dallanma tahmincisini etkileyen herhangi bir koddan sonra açıkça uygulanmalıdır. Eski CPU'lar için geçmişi manuel olarak temizleyen yazılım çözümlerinin kullanılması öneriliyor.
Çekirdek geliştiricileri ise, Linux bu tekniklere karşı koymak için yamaları entegre etmeye başladı bileBunlar arasında hassas önbellek alanlarından dolaylı sıçramaların taşınması ve cBPF'ye karşı koruma önlemleri de yer alıyor.
AMD ise bunu doğruladı Bu teknikler işlemcilerinizi etkilemez. ARM, yalnızca FEAT_CSV2_3 ve FEAT_CLRBHB uzantılarını desteklemeyen eski yongalarının kullanıma sunulacağını belirtti.
Son olarak, bu konuda daha fazla bilgi edinmek istiyorsanız, ayrıntılara başvurabilirsiniz. Aşağıdaki bağlantıda.