حدد فريق من الباحثين من جامعة أمستردام الحرة ثغرة أمنية جديدة في الهياكل المعمارية الدقيقة لمعالجات Intel و ARM ، وهي نسخة موسعة من ثغرة Specter-v2 ، والتي تسمح بتجاوز آليات الحماية eIBRS و CSV2 المضافة إلى المعالجات. تم إعطاء الثغرة الأمنية عدة أسماء: BHI (حقن تاريخ الفرع ، CVE-2022-0001) ، BHB (مخزن محفوظات الفرع ، CVE-2022-0002) و Specter-BHB (CVE-2022-23960) ، والتي تصف مظاهر مختلفة من نفس المشكلة (BHI - هجوم يؤثر على مستويات امتياز مختلفة ، على سبيل المثال ، عملية المستخدم والنواة ، BHB - هجوم على نفس مستوى الامتياز ، على سبيل المثال ، eBPF JIT والنواة).
أظهر الباحثون استغلالًا عمليًا يتيح مساحة للمستخدم لاستخراج البيانات التعسفية من ذاكرة kernel. على سبيل المثال ، تم توضيح كيف ، باستخدام الاستغلال المجهز ، من الممكن استخراج سلسلة من مخازن kernel المؤقتة مع تجزئة كلمة مرور المستخدم الجذر ، والتي يتم تحميلها من ملف / etc / shadow. يوضح الاستغلال القدرة على استغلال الثغرة الأمنية ضمن مستوى امتياز واحد (هجوم kernel-to-kernel) باستخدام برنامج eBPF محمل بواسطة المستخدم. لا يتم أيضًا استبعاد إمكانية استخدام أدوات Specter الموجودة في كود النواة ، بدلاً من eBPF ، تسلسل الأوامر التي تؤدي إلى تنفيذ مضارب للتعليمات.
تظهر الثغرة الأمنية في معظم معالجات Intel الحالية ، باستثناء معالجات عائلة Atom. من معالجات ARM ، تأثرت Cortex-A15 و Cortex-A57 و Cortex-A7 * و Cortex-X1 و Cortex-X2 و Cortex-A710 و Neoverse N1 و Neoverse N2 و Neoverse V1 وربما بعض رقائق Cortex-R. وفقًا للبحث ، لا تظهر الثغرة الأمنية نفسها في معالجات AMD. لإصلاح المشكلة ، تم اقتراح عدة طرق برمجية لمنع الثغرة الأمنية ، والتي يمكن استخدامها قبل ظهور حماية الأجهزة في نماذج وحدة المعالجة المركزية المستقبلية.
لمنع الهجمات عبر نظام eBPF الفرعي، يُنصح بتعطيل قدرة المستخدمين غير المصرح لهم على تحميل برامج eBPF افتراضيًا عن طريق كتابة القيمة 1 في الملف "/proc/sys/kernel/unprivileged_bpf_disabled" أو تشغيل الأمر "sysctl -w kernel.unprivileged_bpf_disabled=1". ولمنع الهجمات عبر الأدوات، يُنصح باستخدام تعليمة LFENCE في أجزاء التعليمات البرمجية التي قد تؤدي إلى تنفيذ تخميني. تجدر الإشارة إلى أن التكوين الافتراضي لمعظم التوزيعات Linux الإجراءات الأمنية اللازمة مطبقة بالفعل، وهي كافية لصد هجوم eBPF الذي أثبته الباحثون. كما تُطبَّق توصيات إنتل بتعطيل الوصول غير المصرح به إلى eBPF افتراضيًا، بدءًا من نواة النظام. Linux 5.16 وسيتم نقلها إلى الفروع السابقة.
من الناحية المفاهيمية ، تعد BHI متغيرًا موسعًا لهجوم Specter-v2 ، حيث يتم تجاوز الحماية الإضافية (Intel eIBRS و Arm CSV2) وتنظيم تسرب البيانات ، واستبدال القيم في المخزن المؤقت بسجل فرع عالمي (مخزن محفوظات الفرع ) ، والذي يتم استخدامه في وحدة المعالجة المركزية لتحسين دقة التفرع التفريعي من خلال مراعاة تاريخ التحولات السابقة. في سياق هجوم من خلال التلاعب بتاريخ التحولات ، يتم إنشاء شروط للتنبؤ غير الصحيح بالانتقال والتنفيذ التخميني للتعليمات الضرورية ، والتي تستقر النتيجة في ذاكرة التخزين المؤقت.
باستثناء استخدام المخزن المؤقت للتاريخ الفرعي بدلاً من المخزن المؤقت للهدف الفرعي ، فإن الهجوم الجديد مماثل لـ Specter-v2. تتمثل مهمة المهاجم في إنشاء مثل هذه الشروط بحيث يتم أخذ العنوان ، عند إجراء عملية مضاربة ، من منطقة البيانات التي يتم تحديدها. بعد إجراء قفزة مضاربة غير مباشرة ، يظل عنوان الانتقال المقروء من الذاكرة في ذاكرة التخزين المؤقت ، وبعد ذلك يمكن استخدام إحدى طرق تحديد محتويات ذاكرة التخزين المؤقت لاستردادها بناءً على تحليل التغييرات في وقت الوصول إلى ذاكرة التخزين المؤقت و لا بيانات مخبأة.
المصدر: opennet.ru
