Usa ka grupo sa mga tigdukiduki gikan sa Vrije Universiteit Amsterdam nakaila sa usa ka bag-ong kahuyang sa microarchitectural nga mga istruktura sa Intel ug ARM processors, nga usa ka taas nga bersyon sa Specter-v2 nga kahuyangan, nga nagtugot sa usa nga makalikay sa eIBRS ug CSV2 nga mekanismo sa pagpanalipod nga gidugang sa mga processor. . Ang kahuyang gihatagan ug daghang mga ngalan: BHI (Branch History Injection, CVE-2022-0001), BHB (Branch History Buffer, CVE-2022-0002) ug Spectre-BHB (CVE-2022-23960), nga naghulagway sa lain-laing mga pagpakita sa parehas nga problema (BHI - usa ka pag-atake nga nakaapekto sa lainlaing lebel sa mga pribilehiyo, pananglitan, ang proseso sa gumagamit ug ang kernel, BHB - usa ka pag-atake sa parehas nga lebel sa pribilehiyo, pananglitan, eBPF JIT ug ang kernel).
Gipakita sa mga tigdukiduki ang usa ka nagtrabaho nga pagpahimulos nga nagtugot sa arbitraryong datos nga makuha gikan sa memorya sa kernel gikan sa wanang sa tiggamit. Pananglitan, gipakita kung giunsa, gamit ang giandam nga pagpahimulos, posible nga makuha gikan sa mga buffer sa kernel ang usa ka pisi nga adunay hash sa password sa root user nga gikarga gikan sa /etc/shadow file. Ang pagpahimulos nagpakita sa posibilidad sa pagpahimulos sa usa ka kahuyang sulod sa usa ka lebel sa pribilehiyo (kernel-to-kernel attack) gamit ang usa ka user-loaded nga eBPF nga programa. Posible usab nga gamiton imbes sa eBPF nga anaa na nga mga gadyet sa Spectre sa kernel code, mga han-ay sa mga sugo nga mosangpot sa espekulatibo nga pagpatuman sa mga instruksyon.
Ang pagkahuyang makita sa kadaghanan sa karon nga mga processor sa Intel, gawas sa mga processor gikan sa pamilyang Atom. Lakip sa mga processor sa ARM, Cortex-A15, Cortex-A57, Cortex-A7*, Cortex-X1, Cortex-X2, Cortex-A710, Neoverse N1, Neoverse N2, Neoverse V1 ug posibleng pipila ka Cortex-R chips ang apektado sa problema. Sumala sa panukiduki, ang pagkahuyang dili makita sa mga processor sa AMD. Aron mawagtang ang problema, daghang mga pamaagi sa software ang gisugyot aron babagan ang pagkahuyang, nga magamit sa wala pa ang dagway sa proteksyon sa hardware sa umaabot nga mga modelo sa CPU.
Aron mapugngan ang mga pag-atake pinaagi sa subsystem sa eBPF, girekomenda nga i-disable pinaagi sa default ang abilidad sa mga dili pribilihiyo nga tiggamit sa pag-download sa mga programa sa eBPF pinaagi sa pagsulat sa 1 sa file nga "/proc/sys/kernel/unprivileged_bpf_disabled" o pagpadagan sa command "sysctl -w kernel. unprivileged_bpf_disabled=1”. Aron mapugngan ang mga pag-atake sa gadget, girekomenda nga gamiton ang panudlo sa LFENCE sa mga lugar nga adunay code nga mahimo’g mosangput sa espekulatibo nga pagpatay. Mamatikdan nga ang default nga pag-configure sa kadaghanan sa mga distribusyon sa Linux naglangkob na sa kinahanglan nga mga lakang sa pagpanalipod nga igo aron mapugngan ang pag-atake sa eBPF nga gipakita sa mga tigdukiduki. Ang mga rekomendasyon sa Intel alang sa pag-disable sa dili pribilihiyo nga pag-access sa eBPF mao usab ang default sukad sa Linux kernel 5.16 ug i-backport sa naunang mga sanga.
Sa konsepto, ang BHI usa ka pinalawig nga bersyon sa pag-atake sa Spectre-v2, diin, aron malaktawan ang dugang nga proteksyon (Intel eIBRS ug Arm CSV2) ug maorganisar ang pagtagas sa datos, ang pagpuli sa kantidad gigamit sa Buffer sa Kasaysayan sa Sanga, gigamit sa CPU aron madugangan ang prediksyon. tukma nga pagsanga pinaagi sa pagkonsiderar sa kasaysayan sa nangaging mga pagbalhin. Atol sa pag-atake, pinaagi sa mga manipulasyon sa kasaysayan sa mga transisyon, ang mga kondisyon gihimo alang sa dili husto nga panagna sa transisyon ug espekulatibo nga pagpatuman sa gikinahanglan nga mga instruksyon, ang resulta nga natapos sa cache.
Gawas sa paggamit sa Branch History Buffer imbes sa Branch Target Buffer, ang bag-ong pag-atake parehas sa Specter-v2. Ang tahas sa tig-atake mao ang paghimo og mga kondisyon nga ang adres, kung maghimo usa ka espekulatibo nga operasyon, gikuha gikan sa lugar sa gipiho nga datos. Human sa paghimo sa usa ka speculative nga dili direkta nga paglukso, ang jump address nga gibasa gikan sa memorya nagpabilin sa cache, nga human niana usa sa mga pamaagi sa pagtino sa sulod sa cache mahimong gamiton aron makuha kini base sa usa ka pagtuki sa mga kausaban sa access time ngadto sa cached ug uncached. datos.
Source: opennet.ru