Một lỗi trong Linux 6.2 cho phép bỏ qua bảo vệ chống tấn công Spectre v2

Mới đây, thông tin được tiết lộ về một lỗ hổng được xác định trong nhân Linux 6.2 (đã được liệt kê dưới CVE-2023-1998) và nổi bật bởi vì nó là vô hiệu hóa bảo vệ tấn công Spectre v2 cho phép truy cập vào bộ nhớ bởi các quy trình khác chạy trên các luồng SMT hoặc Hyper Threading khác nhau, nhưng trên cùng một lõi bộ xử lý vật lý.

Tính dễ bị tổn thương là đáng chú ý trong số những thứ khác bởi vì có thể được sử dụng cho tổ chức rò rỉ dữ liệu giữa máy ảo trong hệ thống đám mây. 

Đối với những người không biết về Spectre, họ nên biết rằng điều này là một trong hai lỗ hổng CPU thực thi tạm thời ban đầu (cái còn lại là Meltdown), liên quan đến các cuộc tấn công kênh bên thời gian vi kiến ​​trúc. Những điều này ảnh hưởng đến các bộ vi xử lý hiện đại thực hiện dự đoán bước nhảy và các hình thức đầu cơ khác.

Trên hầu hết các bộ xử lý, việc thực thi suy đoán do dự đoán nhánh sai có thể để lại các tác dụng phụ có thể quan sát được có thể làm lộ dữ liệu riêng tư. Ví dụ: nếu kiểu truy cập bộ nhớ được thực hiện bởi quá trình thực thi suy đoán như vậy phụ thuộc vào dữ liệu riêng tư, thì trạng thái kết quả của bộ đệm dữ liệu sẽ tạo thành một kênh phụ mà qua đó kẻ tấn công có thể trích xuất thông tin về dữ liệu riêng tư bằng cách sử dụng một cuộc tấn công thời gian.

Kể từ khi tiết lộ Spectre và Meltdown vào tháng 2018 năm XNUMX, một số biến thể và loại lỗ hổng mới liên quan đến chúng đã xuất hiện.

Nhân Linux cho phép các quy trình vùng người dùng kích hoạt giảm nhẹ bằng cách gọi prctl bằng PR_SET_SPECULATION_CTRL, thao tác này sẽ vô hiệu hóa chức năng đặc tả, cũng như bằng cách sử dụng seccomp. Chúng tôi nhận thấy rằng trên các máy ảo từ ít nhất một nhà cung cấp đám mây lớn, nhân vẫn để quá trình nạn nhân có thể tấn công trong một số trường hợp, ngay cả sau khi đã bật giảm thiểu bóng ma-BTI bằng prctl. 

Về tính dễ bị tổn thương, người ta đề cập rằng trong không gian người dùng, để bảo vệ chống lại các cuộc tấn công của bóng ma, các quy trình có thể vô hiệu hóa có chọn lọc việc thực thi hướng dẫn suy đoán bằng prctl PR_SET_SPECULATION_CTRL hoặc sử dụng tính năng lọc cuộc gọi hệ thống dựa trên seccomp.

Theo các nhà nghiên cứu đã xác định vấn đề, tối ưu hóa không chính xác trong kernel 6.2 còn lại máy ảo từ ít nhất một nhà cung cấp đám mây lớn không có biện pháp bảo vệ thích hợp mặc dù đã bao gồm chế độ chặn tấn công bóng ma-BTI thông qua prctl. Lỗ hổng cũng xuất hiện trên các máy chủ bình thường với kernel 6.2, được khởi động với cấu hình "spectre_v2=ibrs".

Bản chất của lỗ hổng là bằng cách chọn các chế độ bảo vệ IBRS hoặc eIBRS, các tối ưu hóa đã vô hiệu hóa việc sử dụng cơ chế STIBP (Bộ dự đoán nhánh gián tiếp một luồng), cần thiết để chặn rò rỉ khi sử dụng công nghệ Đa luồng đồng thời (SMT hoặc Siêu phân luồng). )

Đổi lại, chỉ chế độ eIBRS cung cấp khả năng bảo vệ chống rò rỉ giữa các luồng chứ không phải chế độ IBRS, vì cùng với nó, bit IBRS, cung cấp khả năng bảo vệ chống rò rỉ giữa các lõi logic, bị xóa vì lý do hiệu suất khi quyền điều khiển trở lại người dùng không gian, điều này làm cho luồng không gian người dùng không được bảo vệ trước các cuộc tấn công từ lớp Spectre v2.

Bài kiểm tra bao gồm hai quá trình. Kẻ tấn công liên tục đầu độc một cuộc gọi gián tiếp để chuyển hướng suy đoán nó đến một địa chỉ đích. Quá trình nạn nhân đo tỷ lệ dự đoán sai và cố gắng giảm thiểu cuộc tấn công bằng cách gọi PRCTL hoặc viết trực tiếp tới MSR bằng cách sử dụng mô-đun hạt nhân hiển thị các thao tác đọc và ghi MSR trong không gian người dùng.

Sự cố chỉ ảnh hưởng đến nhân Linux 6.2 và là do triển khai không đúng các tối ưu hóa được thiết kế để giảm chi phí đáng kể khi áp dụng biện pháp bảo vệ chống lại Spectre v2. lỗ hổng Nó đã được sửa trong nhánh nhân Linux 6.3 thử nghiệm.

Cuối cùng là có bạn quan tâm đến việc có thể biết thêm về nó, bạn có thể kiểm tra các chi tiết trong liên kết theo dõi.