Tim istraživača sa Slobodnog sveučilišta u Amsterdamu identificirao je novu ranjivost u mikroarhitekturi Intelovih i ARM procesora. Ova ranjivost je proširena varijanta Spectre-v2, koja omogućuje zaobilaženje zaštitnih mehanizama eIBRS i CSV2 dodanih procesorima. Ranjivost je dobila nekoliko naziva: BHI (Branch History Injection, CVE-2022-0001), BHB (Branch History Buffer, CVE-2022-0002) i Spectre-BHB (CVE-2022-23960), koji opisuju različite manifestacije istog problema (BHI je napad koji utječe na različite razine privilegija, kao što su korisnički proces i kernel, dok je BHB napad na jednoj razini privilegija, kao što su eBPF JIT i kernel).
Istraživači su demonstrirali funkcionalni exploit koji omogućuje izdvajanje proizvoljnih podataka iz memorije kernela iz korisničkog prostora. Na primjer, demonstrirali su kako se pripremljeni exploit može koristiti za izdvajanje niza koji sadrži hash lozinke root korisnika, učitan iz datoteke /etc/shadow, iz međuspremnika kernela. Exploit pokazuje mogućnost iskorištavanja ranjivosti unutar jedne razine privilegija (napad kernel-to-kernel) korištenjem eBPF programa koji je preuzeo korisnik. Također je moguće koristiti postojeće Spectre gadgete, nizove naredbi koji dovode do spekulativnog izvršavanja instrukcija, umjesto eBPF-a.
Ranjivost utječe na većinu trenutnih Intelovih procesora, s izuzetkom Atom obitelji. Među ARM procesorima, problem utječe na Cortex-A15, Cortex-A57, Cortex-A7*, Cortex-X1, Cortex-X2, Cortex-A710, Neoverse N1, Neoverse N2, Neoverse V1 i moguće neke Cortex-R čipove. Istraživanja sugeriraju da AMD procesori nisu ranjivi. Predloženo je nekoliko softverskih mjera za ublažavanje rizika koje se mogu koristiti dok se u buduće modele CPU-a ne uvede hardverska zaštita.
Za blokiranje napada putem eBPF podsustava preporučuje se onemogućiti neprivilegiranim korisnicima učitavanje eBPF programa prema zadanim postavkama upisivanjem 1 u datoteku "/proc/sys/kernel/unprivileged_bpf_disabled" ili pokretanjem naredbe "sysctl -w kernel.unprivileged_bpf_disabled=1". Za blokiranje napada putem gadgeta preporučuje se korištenje instrukcije LFENCE u dijelovima koda koji potencijalno vode do spekulativnog izvršavanja. Vrijedno je napomenuti da je zadana konfiguracija većine distribucija Linux Potrebne sigurnosne mjere već su na snazi, dovoljne za blokiranje eBPF napada koji su demonstrirali istraživači. Intelove preporuke za onemogućavanje neprivilegiranog pristupa eBPF-u također se primjenjuju prema zadanim postavkama, počevši od kernela. Linux 5.16 i bit će vraćena u ranije grane.
Konceptualno, BHI je proširena verzija napada Spectre-v2, koji zaobilazi dodatne zaštite (Intel eIBRS i Arm CSV2) i curi podatke zamjenom vrijednosti u Branch History Buffer, globalni međuspremnik povijesti grananja koji se koristi u CPU-ima za poboljšanje točnosti predviđanja grananja uzimajući u obzir povijest prošlih grananja. Napad, manipulacijom povijesti grananja, stvara uvjete za pogrešno predviđanje grananja i spekulativno izvršavanje potrebnih instrukcija, čiji se rezultati pohranjuju u predmemoriju.
Uz iznimku korištenja međuspremnika povijesti grananja umjesto međuspremnika cilja grananja, novi napad je identičan napadu Spectre-v2. Cilj napadača je stvoriti uvjete takve da se adresa uzeta tijekom spekulativne operacije uzima iz ciljnog područja podataka. Nakon izvršavanja spekulativnog indirektnog skoka, adresa skoka pročitana iz memorije ostaje u predmemoriji, nakon čega se može dohvatiti pomoću jedne od metoda određivanja sadržaja predmemorije na temelju analize varijacija vremena pristupa između predmemoriranih i nekašenih podataka.
Izvor: opennet.ru
