Các nhà nghiên cứu tại Đại học Tự do Amsterdam được biết đến gần đây đã tìm thấy một lỗ hổng bảo mật mới là phiên bản mở rộng của lỗ hổng Spectre-v2 trên bộ vi xử lý Intel và ARM.
Lỗ hổng mới này, mà đã rửa tội thành BHI (Chích Lịch sử Chi nhánh, CVE-2022-0001), bhb (Bộ đệm lịch sử nhánh, CVE-2022-0002) và Spectre-BHB (CVE-2022-23960), có đặc điểm là cho phép phá vỡ cơ chế bảo vệ eIBRS và CSV2 được thêm vào bộ xử lý.
Lỗ hổng bảo mật được mô tả trong các biểu hiện khác nhau của cùng một vấn đề, vì BHI là một cuộc tấn công ảnh hưởng đến các mức đặc quyền khác nhau, chẳng hạn như một quy trình người dùng và hạt nhân, trong khi BHB là một cuộc tấn công ở cùng một mức đặc quyền, ví dụ: eBPF JIT và nhân.
Về lỗ hổng
Về mặt khái niệm, BHI là một biến thể mở rộng của cuộc tấn công Spectre-v2, trong đó để bỏ qua bảo vệ bổ sung (Intel eIBRS và Arm CSV2) và sắp xếp rò rỉ dữ liệu, việc thay thế các giá trị trong bộ đệm bằng lịch sử nhánh toàn cầu (Bộ đệm lịch sử nhánh), được sử dụng trong CPU để cải thiện độ chính xác của dự đoán nhánh bằng cách tính đến lịch sử của các chuyển đổi trong quá khứ.
Trong quá trình tấn công thông qua các thao tác với lịch sử chuyển đổi, các điều kiện được tạo ra để dự đoán sai về quá trình chuyển đổi và thực hiện đầu cơ của các hướng dẫn cần thiết mà kết quả của chúng được lưu vào bộ nhớ đệm.
Ngoại trừ việc sử dụng bộ đệm lịch sử phiên bản thay vì bộ đệm mục tiêu phiên bản, cuộc tấn công mới giống với Spectre-v2. Nhiệm vụ của kẻ tấn công là tạo ra các điều kiện để địa chỉ, khi thực hiện một phép toán suy đoán, nó được lấy từ vùng dữ liệu đang được xác định.
Sau khi thực hiện bước nhảy gián tiếp suy đoán, địa chỉ bước nhảy được đọc từ bộ nhớ vẫn còn trong bộ đệm, sau đó một trong các phương pháp xác định nội dung của bộ đệm có thể được sử dụng để truy xuất nó dựa trên phân tích về sự thay đổi trong thời gian truy cập bộ nhớ cache và chưa được lưu vào bộ nhớ cache. dữ liệu.
Các nhà nghiên cứu đã chứng minh một khai thác chức năng cho phép không gian người dùng trích xuất dữ liệu tùy ý từ bộ nhớ nhân.
Ví dụ, nó chỉ ra cách, bằng cách sử dụng khai thác đã chuẩn bị, có thể trích xuất từ bộ đệm hạt nhân một chuỗi với mã băm mật khẩu của người dùng gốc, được tải từ tệp / etc / shadow.
Việc khai thác thể hiện khả năng khai thác lỗ hổng trong một mức đặc quyền duy nhất (tấn công từ hạt nhân đến hạt nhân) bằng cách sử dụng chương trình eBPF do người dùng tải. Cũng không loại trừ khả năng sử dụng các tiện ích Spectre hiện có trong mã hạt nhân, các tập lệnh dẫn đến việc thực thi các lệnh mang tính đầu cơ, cũng không được loại trừ.
Lỗ hổng xuất hiện trên hầu hết các bộ xử lý Intel hiện tại, ngoại trừ dòng bộ xử lý Atom và một số bộ xử lý ARM.
Theo nghiên cứu, lỗ hổng bảo mật không tự biểu hiện trên bộ vi xử lý AMD. Để giải quyết vấn đề, một số phương pháp đã được đề xuất. phần mềm chặn lỗ hổng bảo mật, có thể được sử dụng trước khi xuất hiện bảo vệ phần cứng trong các mẫu CPU trong tương lai.
Để chặn các cuộc tấn công thông qua hệ thống con eBPF, sBạn nên tắt theo mặc định khả năng tải các chương trình eBPF bởi người dùng không có đặc quyền bằng cách ghi 1 vào tệp “/ proc / sys / kernel / unprivileged_bpf_disabled” hoặc bằng cách chạy lệnh “sysctl -w kernel .unprivileged_bpf_disabled = 1”.
Để chặn các cuộc tấn công thông qua các tiện ích, bạn nên sử dụng hướng dẫn LFENCE trong các phần mã có khả năng dẫn đến thực thi suy đoán. Đáng chú ý là cấu hình mặc định của hầu hết các bản phân phối Linux đã chứa các biện pháp bảo vệ cần thiết đủ để chặn cuộc tấn công eBPF đã được các nhà nghiên cứu chứng minh.
Các khuyến nghị của Intel để vô hiệu hóa quyền truy cập không đặc quyền vào eBPF cũng được áp dụng theo mặc định bắt đầu với nhân Linux 5.16 và sẽ được chuyển đến các nhánh trước đó.
Cuối cùng, nếu bạn quan tâm có thể biết thêm về nó, bạn có thể tham khảo chi tiết tại mục liên kết theo dõi.