Reptar уязвимост, засягаща процесорите на Intel

Изследователят по сигурността на Google Тавис Орманди идентифицира нова уязвимост (CVE-2023-23583) в процесорите на Intel, с кодово име Reptar, която представлява заплаха предимно за облачните системи, работещи с виртуални машини, принадлежащи на различни потребители. Уязвимостта може да причини замръзване или срив на системата при извършване на определени операции в непривилегировани гост системи. За тестови цели е публикувана помощна програма, която създава условия за експлоатация.

Теоретично, уязвимостта може да бъде използвана за ескалиране на привилегиите от пръстен 3 към пръстен 0 (CPL0) и излизане от изолирани среди, но този сценарий все още не е потвърден на практика поради трудности при отстраняването на грешки на микроархитектурно ниво. Вътрешни тестове в Intel също демонстрираха потенциала за експлоатация на уязвимостта за ескалиране на привилегиите при определени условия.

Според изследователя, уязвимостта засяга семействата процесори на Intel Ice Lake, Rocket Lake, Tiger Lake, Raptor Lake, Alder Lake и Sapphire Rapids. Докладът на Intel отбелязва, че проблемът засяга процесорите Intel Core от 10-то поколение (Ice Lake) и Xeon Scalable от трето поколение, както и процесорите Xeon E/D/W (Ice Lake, Skylake, Haswell, Broadwell, Skylake, Sapphire Rapids, Emerald Rapids, Cascade Lake, Cooper Lake, Comet Lake, Rocket Lake) и процесорите Atom (Apollo Lake, Jasper Lake, Arizona Beach, Alder Lake, Parker Ridge, Snow Ridge, Elkhart Lake и Denverton). Уязвимостта е отстранена във вчерашната актуализация на микрокода 20231114.

Уязвимостта е причинена от определено микроархитектурно условие, при което изпълнението на инструкцията "REP MOVSB" е кодирано с излишен префикс "REX", което води до неопределено поведение. Проблемът е открит по време на тестване на излишни префикси, които теоретично би трябвало да се игнорират, но на практика водят до странни ефекти, като игнориране на безусловни прескоци и нарушаване на запазването на показалеца в инструкциите xsave и call. По-нататъшен анализ разкри, че добавянето на излишен префикс към инструкцията "REP MOVSB" поврежда съдържанието на ROB (ReOrder Buffer), който се използва за подреждане на инструкции.

Смята се, че грешката е причинена от неправилно изчисление на размера на инструкцията MOVSB, което води до нарушаване на адресирането на инструкции, записани в ROB буфера след MOVSB ​​с прекомерен префикс, и неправилно подравняване на показалеца на инструкцията. Тази десинхронизация може да се ограничи до нарушаване на междинни изчисления с последващо възстановяване на консистентно състояние. Ако обаче сривът се задейства едновременно на множество ядра или SMT нишки, това може да причини достатъчна микроархитектурна повреда, за да предизвика срив.

Източник: opennet.ru