Grupa istraživača sa Slobodnog univerziteta u Amsterdamu objavila je Kasperov alat, dizajniran za detekciju kernelskih virusa. Linux Isječci koda koji se mogu koristiti za iskorištavanje ranjivosti klase Spectre uzrokovanih spekulativnim izvršavanjem koda na procesoru. Izvorni kod za alat distribuira se pod Apache 2.0 licencom.
Podsjetimo da je za izvođenje napada kao što je Spectre v1, koji omogućavaju određivanje sadržaja memorije, potrebno prisustvo u privilegiranom kodu određenog niza naredbi (gadžeta), što dovodi do spekulativnog izvršavanja instrukcija. . U svrhu optimizacije, procesor počinje izvršavati takve gadgete u spekulativnom načinu, zatim utvrđuje da predviđanje grananja nije opravdano i vraća operacije u prvobitno stanje, ali podaci obrađeni tokom spekulativnog izvršenja završavaju u kešu i mikroarhitektonskim baferima i je dostupan za preuzimanje od njih koristeći različite metode utvrđivanja zaostalih podataka putem kanala treće strane.
Ranije dostupni alati za skeniranje gadžeta na ranjivost Spectre, zasnovani na traženju tipičnih obrazaca, pokazali su vrlo visok nivo lažnih pozitivnih rezultata, dok su nedostajali mnogi pravi gadgeti (eksperimenti su pokazali da 99% gadgeta identifikovanih takvim alatima nije moglo da se koristi za napade , a 33% radnih naprava koje bi mogle dovesti do napada nije uočeno).
Kako bi poboljšao kvalitet identifikacije problematičnih gadžeta, Kasper modelira ranjivosti koje napadač može iskoristiti u svakom koraku izvođenja napada klase Spectre – modeliraju se problemi koji omogućavaju kontrolu podataka (na primjer, zamjena podataka napadača u mikroarhitektonske strukture kako bi se uticalo na naknadno spekulativno izvršenje koristeći Napadi klase LVI), dobijanje pristupa povjerljivim informacijama (na primjer, kada se prelazi granice bafera ili korištenje memorije nakon što se oslobodi) i curenje povjerljivih informacija (na primjer, analizom stanja keša procesora ili korištenjem MDS metode).
Tokom testiranja, kernel komunicira sa Kasper runtime bibliotekama i provjerama zasnovanim na LLVM-u. Provjera emulira spekulativno izvršavanje koda koristeći mehanizam vraćanja kontrolnih tačaka koji namjerno izvršava pogrešno predviđenu grananje koda, a zatim se vraća u prvobitno stanje prije nego što se grananje dogodilo. Kasper također pokušava simulirati različite softverske i hardverske ranjivosti, analizira utjecaj arhitektonskih i mikroarhitektonskih efekata i izvodi fuzzing testove mogućih akcija napadača. DataFlowSanitizer kernel port se koristi za analizu toka izvršavanja. Linux, a za fuzzing testiranje modificirana verzija syzkaller paketa.
Tokom skeniranja kernela Linux Korištenjem Kaspera, identificirano je 1379 prethodno nepoznatih gadgeta koji potencijalno mogu dovesti do curenja podataka tokom spekulativnog izvršavanja instrukcija. Napominje se da samo podskup njih može predstavljati stvarne probleme, ali da bi se pokazalo da postoji stvarna, a ne samo teoretska prijetnja, razvijen je radni prototip exploita za jedan od problematičnih fragmenata koda, uzrokujući curenje informacija iz memorije kernela.
izvor: opennet.ru
