Các nhà nghiên cứu từ Đại học Vrije Amsterdam được biết đến, thông qua một bài đăng trên blog, để "Huấn luyện Solo, một nhóm tấn công Spectre-v2 mới khai thác lỗ hổng trong dự đoán suy đoán để phá vỡ ranh giới bảo mật giữa không gian thực thi có đặc quyền và không có đặc quyền, ảnh hưởng trực tiếp đến CPU Intel.
Các kỹ thuật mới cho phép trích xuất nội dung nhạy cảm từ hạt nhân hoặc trình quản lý ảo ở tốc độ lên tới 17 KB mỗi giây, ngay cả trên các hệ thống triển khai các biện pháp giảm thiểu hiện đại như IBPB, eIBRS hoặc BHI_NO.
Đào tạo Solo, bộ mặt mới của Spectre-v2 tái xuất với sức mạnh
Kể từ khi được phát hiện, Spectre-v2 đã trở thành một trong những lớp lỗ hổng khó giảm thiểu nhất do bản chất suy đoán của nó và ""Đào tạo Solo", một lần nữa một vấn đề quan trọng được đưa ra, vì nó không yêu cầu bất kỳ mã nào do kẻ tấn công kiểm soát để tác động đến bộ dự đoán nhánh, mà thay vào đó dựa vào các đoạn mã hiện có (tiện ích) trong hạt nhân hoặc trình quản lý ảo để đào tạo bộ dự đoán từ không gian người dùng.
Công trình của chúng tôi chứng minh rằng kẻ tấn công có thể chiếm đoạt luồng điều khiển trong cùng một miền (ví dụ: hạt nhân) và rò rỉ bí mật qua ranh giới đặc quyền, tái hiện các kịch bản Spectre-v2 cổ điển mà không cần dựa vào các hộp cát mạnh mẽ như eBPF. Chúng tôi đã tạo một bộ kiểm tra mới để phân tích bộ dự đoán nhánh trong một kịch bản tự đào tạo.
Các nhà nghiên cứu đã chỉ ra rằng bằng cách thao túng những tiện ích này (ví dụ: tận dụng bộ lọc SECCOMP dựa trên cBPF) thực hiện suy đoán có thể được gây ra làm rò rỉ dữ liệu từ hệ thống đặc quyền.
Thông qua kỹ thuật này, được gọi là "đào tạo cá nhân", lịch sử của người dự đoán có thể bị thay đổi của nĩa để các bước nhảy không chính xác xảy ra trong quá trình thực hiện suy đoán, với mục đích làm rò rỉ nội dung bộ nhớ thông qua các tác dụng phụ trong bộ nhớ đệm.
Các Đào tạo Các cuộc tấn công Solo có ba biến thể, mỗi bên đều lợi dụng những điểm yếu khác nhau:
- Thao tác lịch sử nhánh với các tiện ích hạt nhân: Khai thác các lệnh gọi hệ thống như SECCOMP, trong đó các bộ lọc có thể tạo ra các nhánh suy đoán không mong muốn, làm rò rỉ bộ nhớ với tốc độ 1,7 KB/giây trên CPU Intel Tiger Lake và Lion Cove.
- Xung đột con trỏ lệnh (IP) trong bộ đệm dự đoán nhánh (BTB): Tại đây, hai nhánh gián tiếp khác nhau có thể ảnh hưởng lẫn nhau nếu địa chỉ của chúng xung đột trong bộ đệm, khiến các đích đến mang tính suy đoán có thể bị dự đoán sai.
- Sự ảnh hưởng giữa các nhánh trực tiếp và gián tiếp: Kỹ thuật này, dựa trên hai lỗ hổng cụ thể (CVE-2024-28956 (ITS) và CVE-2025-24495), khai thác cách các nhánh trực tiếp có thể ảnh hưởng đến việc dự đoán các nhánh gián tiếp. Sử dụng phương pháp này, hàm băm mật khẩu gốc đã được khôi phục sau khi chạy lệnh passwd -s chỉ trong 60 giây.
Công việc của chúng tôi tập trung vào việc phá vỡ sự cô lập miền theo thiết kế thông qua các cuộc tấn công tự đào tạo. Tuy nhiên, các vấn đề về phần cứng được phát hiện trong bộ thử nghiệm của chúng tôi cũng ảnh hưởng đến việc triển khai cách ly, vì người ta cho rằng các nhánh trực tiếp sẽ không được sử dụng để đào tạo các nhánh gián tiếp.
Tác động và phạm vi của các lỗ hổng mới
Các cuộc tấn công ảnh hưởng đến nhiều loại CPU Intel, bao gồm các dòng phổ biến như Coffee Lake, Tiger Lake, Ice Lake và Rocket Lake, cũng như máy chủ Xeon thế hệ thứ 2 và thứ 3. Ngoài ra, kiến trúc Lunar Lake và Arrow Lake cũng dễ bị tấn công theo lỗ hổng CVE-2025-24495.
Để giảm thiểu các cuộc tấn công này, Intel đã phát hành bản cập nhật vi mã giới thiệu một hướng dẫn mới: IBHF (Hàng rào lịch sử nhánh gián tiếp), được thiết kế để ngăn ngừa việc ô nhiễm lịch sử nhánh. Thay đổi này phải được triển khai rõ ràng sau bất kỳ mã nào ảnh hưởng đến trình dự đoán nhánh. Đối với các CPU cũ hơn, bạn nên sử dụng các giải pháp phần mềm xóa lịch sử thủ công.
Về phần mình, các nhà phát triển hạt nhân của Linux đã bắt đầu tích hợp các bản vá để chống lại các kỹ thuật này, bao gồm các biện pháp di dời các điểm nhảy gián tiếp ra khỏi các khu vực bộ nhớ đệm nhạy cảm và bảo vệ chống lại cBPF.
Về phần mình, AMD đã xác nhận rằng Những kỹ thuật này không ảnh hưởng đến bộ xử lý của bạn. ARM cho biết chỉ những chip cũ hơn, không hỗ trợ tiện ích mở rộng FEAT_CSV2_3 và FEAT_CLRBHB mới được triển khai.
Cuối cùng, nếu bạn quan tâm muốn biết thêm về nó, bạn có thể tham khảo chi tiết Trong liên kết sau.