Un gruppu di circadori di a Vrije Universiteit Amsterdam anu scupertu un novu metudu d'attaccu chjamatu "Native BHI" (CVE-2024-2201) chì permette di determinà u cuntenutu di a memoria di u kernel nantu à i sistemi cù processori Intel. Linux Quandu si esegue un exploit in u spaziu utilizatore. Se l'attaccu hè applicatu à i sistemi di virtualizazione, un attaccante da u sistema invitatu pò determinà u cuntenutu di a memoria di l'ambiente ospitante o di altri sistemi invitati.
U metudu Native BHI offre una tecnica diversa per sfruttà a vulnerabilità BHI (Branch History Injection, CVE-2022-0001), chì ignora i metudi di prutezzione implementati prima. U metudu di attaccu BHI prupostu in 2022 implicava sfruttà una vulnerabilità in un unicu livellu di privilegiu, per quale u sfruttamentu era basatu annantu à l'esecuzione di un prugramma eBPF caricatu da l'utilizatore in u kernel. Per bluccà a vulnerabilità, era abbastanza per limità l'accessu à l'esekzione di u codice eBPF per l'utilizatori ordinali.
U novu metudu Native BHI ùn hà micca bisognu di accessu à eBPF è permette un attaccu da un usu senza privilegiu da u spaziu di l'utilizatori. U metudu hè basatu annantu à l'esekzione di gadgets esistenti in u codice di u kernel - sequenze di cumandamenti chì portanu à l'esekzione speculativa di istruzzioni. Per circà i gadgets adattati in u kernel, hè statu sviluppatu un toolkit speciale InSpectre Gadget, chì, quandu analizà u kernel 6.6-rc4, identificò 1511 gadgets Spectre è 2105 gadgets ausiliari di spedizione.
Basatu nantu à i gadgets truvati, i circadori anu preparatu un sfruttamentu chì permette di estrattà da i buffers di u kernel una stringa cù un hash di a password di l'utilizatore root, caricata da u file /etc/shadow. A velocità di ricuperazione di dati da a memoria di u kernel hè di circa 3.5 KB per seconda.
U metudu BHI hè una versione allargata di l'attaccu Spectre-v2, in quale, per svià a prutezzione aghjuntu (Intel eIBRS è Arm CSV2) è pruvucà a fuga di dati, a sustituzione di valore hè aduprata in u Buffer di Storia di Branch, utilizatu in u CPU per migliurà a prediczione. accurata branching da piglià in contu a storia di transizzioni passatu. Duranti l'attaccu, attraversu manipulazioni cù a storia di transizzioni, i cundizioni sò creati per a prediczione incorrecta di a transizione è l'esekzione speculativa di l'istruzzioni necessarii, u risultatu di quale finiscinu in u cache.
I diffirenzii da l'attaccu Spectre-v2 venenu à l'usu di un Buffer di Storia Branch invece di un Buffer Target Branch. Per caccià e dati da a memoria, l'attaccante deve creà e cundizioni in quale, quandu eseguisce una operazione speculativa, l'indirizzu serà pigliatu da l'area chì deve esse determinata. Dopu avè realizatu un saltu indirettu speculativu, l'indirizzu di salto lettu da a memoria resta in u cache, dopu chì unu di i metudi per determinà u cuntenutu di u cache pò esse usatu per ricuperà basatu annantu à una analisi di cambiamenti in u tempu d'accessu à cache è uncached. dati.
L'usu di l'istruzzioni Intel IBT (Indirect Branch Tracking) è l'implementazione in u kernel ùn prutegge micca contr'à l'attacchi BHI nativi. Linux FineIBT, un mecanismu di prutezzione di u flussu d'esecuzione ibridu, combina istruzioni hardware IBT è prutezzione software kCFI (kernel Control Flow Integrity) per impedisce e violazioni di u flussu d'esecuzione nurmale (flussu di cuntrollu). FineIBT permette l'esecuzione via un saltu indirettu solu s'ellu u saltu hè à l'istruzione ENDBR, chì si trova à l'iniziu di a funzione. Inoltre (simile à u mecanismu kCFI), a verificazione di hash hè effettuata dopu, assicurendu l'immutabilità di u puntatore.
Per prutege si contr'à una nova variante di l'attaccu di u kernel Linux Hè stata aghjunta una mudificazione per implementà una modalità di prutezzione supplementaria chì utilizza a prutezzione hardware pruposta da Intel (BHI_DIS_S) o una prutezzione software alternativa implementata per prutege l'ipervisore. KVMI sviluppatori di l'ipervisore Xen anu ancu publicatu una correzione basata annantu à a modalità BHI_DIS_S, chì limita e previsioni basate annantu à a storia di e branche. U supportu BHI_DIS_S hè dispunibule in i processori chì cumincianu cù Intel Alder Lake, è ancu in e CPU di i servitori chì cumincianu cù Intel Sapphire Rapids. Hè ancu dispunibule una modalità di prutezzione di u software basata annantu à l'usu di sequenze per svuotà u buffer di a storia di e branche, ma si traduce in una penalità di prestazione più notevule.
Source: opennet.ru
