حدد فريق من الباحثين من جامعة أمستردام الحرة ثغرة أمنية جديدة في الهياكل المعمارية الدقيقة لمعالجات Intel و ARM ، وهي نسخة موسعة من ثغرة Specter-v2 ، والتي تسمح بتجاوز آليات الحماية eIBRS و CSV2 المضافة إلى المعالجات. تم إعطاء الثغرة الأمنية عدة أسماء: BHI (حقن تاريخ الفرع ، CVE-2022-0001) ، BHB (مخزن محفوظات الفرع ، CVE-2022-0002) و Specter-BHB (CVE-2022-23960) ، والتي تصف مظاهر مختلفة من نفس المشكلة (BHI - هجوم يؤثر على مستويات امتياز مختلفة ، على سبيل المثال ، عملية المستخدم والنواة ، BHB - هجوم على نفس مستوى الامتياز ، على سبيل المثال ، eBPF JIT والنواة).
أظهر الباحثون استغلالًا عمليًا يتيح مساحة للمستخدم لاستخراج البيانات التعسفية من ذاكرة kernel. على سبيل المثال ، تم توضيح كيف ، باستخدام الاستغلال المجهز ، من الممكن استخراج سلسلة من مخازن kernel المؤقتة مع تجزئة كلمة مرور المستخدم الجذر ، والتي يتم تحميلها من ملف / etc / shadow. يوضح الاستغلال القدرة على استغلال الثغرة الأمنية ضمن مستوى امتياز واحد (هجوم kernel-to-kernel) باستخدام برنامج eBPF محمل بواسطة المستخدم. لا يتم أيضًا استبعاد إمكانية استخدام أدوات Specter الموجودة في كود النواة ، بدلاً من eBPF ، تسلسل الأوامر التي تؤدي إلى تنفيذ مضارب للتعليمات.
تظهر الثغرة الأمنية في معظم معالجات Intel الحالية ، باستثناء معالجات عائلة Atom. من معالجات ARM ، تأثرت Cortex-A15 و Cortex-A57 و Cortex-A7 * و Cortex-X1 و Cortex-X2 و Cortex-A710 و Neoverse N1 و Neoverse N2 و Neoverse V1 وربما بعض رقائق Cortex-R. وفقًا للبحث ، لا تظهر الثغرة الأمنية نفسها في معالجات AMD. لإصلاح المشكلة ، تم اقتراح عدة طرق برمجية لمنع الثغرة الأمنية ، والتي يمكن استخدامها قبل ظهور حماية الأجهزة في نماذج وحدة المعالجة المركزية المستقبلية.
لمنع الهجمات من خلال نظام eBPF الفرعي ، يوصى بتعطيل القدرة افتراضيًا على تحميل برامج eBPF بواسطة مستخدمين لا يتمتعون بامتيازات عن طريق كتابة 1 في الملف "/ proc / sys / kernel / univileged_bpf_disabled" أو عن طريق تشغيل الأمر "sysctl -w kernel .unprivileged_bpf_disabled = 1 ". لمنع الهجمات من خلال الأدوات الذكية ، يوصى باستخدام تعليمات LFENCE في أقسام التعليمات البرمجية التي من المحتمل أن تؤدي إلى تنفيذ تخميني. من الجدير بالذكر أن التكوين الافتراضي لمعظم توزيعات Linux يحتوي بالفعل على إجراءات الحماية الضرورية الكافية لمنع هجوم eBPF الذي أظهره الباحثون. يتم أيضًا تطبيق توصيات Intel لتعطيل الوصول غير المتميز إلى eBPF افتراضيًا بدءًا من Linux 5.16 kernel وسيتم نقله إلى الفروع السابقة.
من الناحية المفاهيمية ، تعد BHI متغيرًا موسعًا لهجوم Specter-v2 ، حيث يتم تجاوز الحماية الإضافية (Intel eIBRS و Arm CSV2) وتنظيم تسرب البيانات ، واستبدال القيم في المخزن المؤقت بسجل فرع عالمي (مخزن محفوظات الفرع ) ، والذي يتم استخدامه في وحدة المعالجة المركزية لتحسين دقة التفرع التفريعي من خلال مراعاة تاريخ التحولات السابقة. في سياق هجوم من خلال التلاعب بتاريخ التحولات ، يتم إنشاء شروط للتنبؤ غير الصحيح بالانتقال والتنفيذ التخميني للتعليمات الضرورية ، والتي تستقر النتيجة في ذاكرة التخزين المؤقت.
باستثناء استخدام المخزن المؤقت للتاريخ الفرعي بدلاً من المخزن المؤقت للهدف الفرعي ، فإن الهجوم الجديد مماثل لـ Specter-v2. تتمثل مهمة المهاجم في إنشاء مثل هذه الشروط بحيث يتم أخذ العنوان ، عند إجراء عملية مضاربة ، من منطقة البيانات التي يتم تحديدها. بعد إجراء قفزة مضاربة غير مباشرة ، يظل عنوان الانتقال المقروء من الذاكرة في ذاكرة التخزين المؤقت ، وبعد ذلك يمكن استخدام إحدى طرق تحديد محتويات ذاكرة التخزين المؤقت لاستردادها بناءً على تحليل التغييرات في وقت الوصول إلى ذاكرة التخزين المؤقت و لا بيانات مخبأة.
المصدر: opennet.ru