BHI е нова уязвимост от клас Spectre в процесори Intel и ARM

Екип от изследователи от Свободния университет в Амстердам идентифицира нова уязвимост в микроархитектурните структури на процесорите Intel и ARM, която е разширена версия на уязвимостта Spectre-v2, която позволява заобикаляне на механизмите за защита eIBRS и CSV2, добавени към процесорите. На уязвимостта са дадени няколко имена: BHI (Инжектиране на история на клонове, CVE-2022-0001), BHB (Буфер за история на клонове, CVE-2022-0002) и Spectre-BHB (CVE-2022-23960), които описват различни прояви на същият проблем (BHI - атака, която засяга различни нива на привилегия, например потребителски процес и ядрото, BHB - атака на същото ниво на привилегия, например eBPF JIT и ядрото).

Изследователите демонстрираха работещ експлойт, който позволява на потребителското пространство да извлича произволни данни от паметта на ядрото. Например, показано е как с помощта на подготвения експлойт е възможно да се извлече от буферите на ядрото низ с хеш на паролата на потребителя root, зареден от файла /etc/shadow. Експлойтът демонстрира способността да се използва уязвимостта в рамките на едно ниво на привилегия (атака от ядро ​​до ядро), използвайки заредена от потребителя eBPF програма. Възможността за използване вместо eBPF на съществуващите в кода на ядрото приспособления Spectre, последователности от команди, водещи до спекулативно изпълнение на инструкции, също не е изключена.

Уязвимостта се появява в повечето съвременни процесори на Intel, с изключение на процесорите от семейството Atom. От ARM процесорите са засегнати Cortex-A15, Cortex-A57, Cortex-A7*, Cortex-X1, Cortex-X2, Cortex-A710, Neoverse N1, Neoverse N2, Neoverse V1 и вероятно някои чипове Cortex-R. Според изследвания уязвимостта не се проявява в процесорите на AMD. За отстраняване на проблема са предложени няколко софтуерни метода за блокиране на уязвимостта, които могат да се използват преди появата на хардуерна защита в бъдещите модели CPU.

За да блокирате атаки през подсистемата eBPF, се препоръчва да деактивирате по подразбиране възможността за зареждане на eBPF програми от непривилегировани потребители, като напишете 1 във файла „/proc/sys/kernel/unprivileged_bpf_disabled“ или като изпълните командата „sysctl -w kernel .unprivileged_bpf_disabled=1". За да блокирате атаки чрез джаджи, се препоръчва да използвате инструкцията LFENCE в секциите на кода, които потенциално водят до спекулативно изпълнение. Трябва да се отбележи, че конфигурацията по подразбиране на повечето Linux дистрибуции вече съдържа необходимите мерки за защита, достатъчни за блокиране на eBPF атаката, демонстрирана от изследователите. Препоръките на Intel за деактивиране на непривилегирован достъп до eBPF също се прилагат по подразбиране, като се започне с ядрото на Linux 5.16 и ще бъдат пренесени към по-ранни клонове.

Концептуално, BHI е разширен вариант на атаката Spectre-v2, при която се заобикаля добавената защита (Intel eIBRS и Arm CSV2) и се организира изтичане на данни, заместване на стойности в буфера с глобална история на разклоненията (Branch History Buffer ), който се използва в процесора за подобряване на разклоняването на точността на прогнозиране чрез отчитане на историята на минали преходи. В хода на атака чрез манипулации с историята на преходите се създават условия за неправилно прогнозиране на прехода и спекулативното изпълнение на необходимите инструкции, резултатът от което се установява в кеша.

С изключение на използването на Branch History Buffer вместо Branch Target Buffer, новата атака е идентична на Spectre-v2. Задачата на нападателя е да създаде такива условия, че адресът, когато извършва спекулативна операция, да бъде взет от областта на данните, които се определят. След извършване на спекулативен индиректен скок адресът за скок, прочетен от паметта, остава в кеша, след което един от методите за определяне на съдържанието на кеша може да се използва за извличането му въз основа на анализ на промените във времето за достъп до кешираните и не кеширани данни.

Източник: opennet.ru