Reptar уязвимост, засягаща процесорите на Intel

Тавис Орманди, изследовател по сигурността в Google, идентифицира нова уязвимост (CVE-2023-23583) в процесорите на Intel с кодово име Reptar, която представлява заплаха главно за облачните системи, работещи с виртуални машини на различни потребители. Уязвимостта позволява на системата да виси или да се срине, когато определени операции се извършват на непривилегировани системи за гости. За да тествате вашите системи, е публикувана помощна програма, която създава условия за проявление на уязвимости.

Теоретично, уязвимостта може да се използва за ескалиране на привилегии от третия до нулев защитен пръстен (CPL0) и бягство от изолирани среди, но този сценарий все още не е потвърден на практика поради трудностите при отстраняване на грешки на микроархитектурно ниво. Вътрешен преглед в Intel също показа потенциала за използване на уязвимостта за ескалиране на привилегии при определени условия.

Според изследователя уязвимостта присъства в семействата процесори Intel Ice Lake, Rocket Lake, Tiger Lake, Raptor Lake, Alder Lake и Sapphire Rapids. В доклада на Intel се споменава, че проблемът се появява от 10-то поколение (Ice Lake) на процесорите Intel Core и третото поколение на процесорите Xeon Scalable, както и в процесорите Xeon E/D/W (Ice Lake, Skylake, Haswell, Broadwell , Skylake, Sapphire Rapids, Emerald Rapids, Cascade Lake, Cooper Lake, Comet Lake, Rocket Lake) и Atom (Apollo Lake, Jasper Lake, Arizona Beach, Alder Lake, Parker Ridge, Snow Ridge, Elkhart Lake и Denverton). Въпросната уязвимост беше коригирана във вчерашната актуализация на микрокода 20231114.

Уязвимостта се дължи на факта, че при определени микроархитектурни обстоятелства изпълнението на инструкцията „REP MOVSB“ е кодирано с прекомерен префикс „REX“, което води до недефинирано поведение. Проблемът беше открит по време на тестване на излишни префикси, които на теория трябва да се игнорират, но на практика водят до странни ефекти, като игнориране на безусловни разклонения и прекъсване на запазването на указателя в инструкциите за xsave и call. Допълнителен анализ показа, че добавянето на излишен префикс към инструкцията "REP MOVSB" причинява повреда на съдържанието на буфера ROB (ReOrder Buffer), използван за подреждане на инструкции.

Смята се, че грешката е причинена от неправилно изчисляване на размера на инструкцията "MOVSB", което води до нарушаване на адресирането на инструкции, записани в ROB буфера след MOVSB ​​с прекомерен префикс и отместване на показалеца на инструкцията. Такава десинхронизация може да бъде ограничена до прекъсване на междинните изчисления с последващо възстановяване на интегралното състояние. Но ако сринете няколко ядра или SMT нишки едновременно, можете да повредите микроархитектурното състояние достатъчно, за да се срине.

Източник: opennet.ru