Rannsakendahópur frá Vrije Universiteit Amsterdam hefur bent á nýjan varnarleysi í örarkitektúr Intel og ARM örgjörva. Þessi varnarleysi er útvíkkuð útgáfa af Spectre-v2, sem gerir kleift að komast framhjá eIBRS og CSV2 verndarkerfum sem bætt er við örgjörvana. Varnarleysið hefur fengið nokkur nöfn: BHI (Branch History Injection, CVE-2022-0001), BHB (Branch History Buffer, CVE-2022-0002) og Spectre-BHB (CVE-2022-23960), sem lýsa mismunandi birtingarmyndum sama vandamálsins (BHI er árás sem hefur áhrif á mismunandi réttindastig, svo sem notandaferlið og kjarnann, en BHB er árás á einu réttindastigi, svo sem eBPF JIT og kjarnann).
Rannsakendur hafa sýnt fram á virka nýtingu sem gerir kleift að draga út handahófskennd gögn úr kjarnaminni notanda. Til dæmis sýna þeir fram á hvernig hægt er að nota undirbúið nýtingu til að draga út streng sem inniheldur lykilorð rótarnotandans, hlaðið úr /etc/shadow skránni, úr kjarnabiðminni. Nýtingin sýnir fram á möguleikann á að nýta sér veikleika innan eins réttindastigs (kjarna-í-kjarna árás) með því að nota eBPF forrit sem notandi hefur sótt. Einnig er hægt að nota núverandi Spectre græjur, skipunarraðir sem leiða til íhugandi keyrslu skipana, í stað eBPF.
Öryggisbresturinn hefur áhrif á flesta núverandi Intel örgjörva, að Atom fjölskyldunni undanskildum. Meðal ARM örgjörva hefur vandamálið áhrif á Cortex-A15, Cortex-A57, Cortex-A7*, Cortex-X1, Cortex-X2, Cortex-A710, Neoverse N1, Neoverse N2, Neoverse V1 og hugsanlega sumar Cortex-R örgjörva. Rannsóknir benda til þess að AMD örgjörvar séu ekki viðkvæmir. Nokkrar hugbúnaðarlausnir hafa verið lagðar til, sem hægt er að nota þar til vélbúnaðarvörn verður kynnt til sögunnar í framtíðar örgjörvagerðum.
Til að loka fyrir árásir í gegnum eBPF undirkerfið er mælt með því að slökkva á möguleikanum fyrir óréttindalausa notendur að hlaða eBPF forrit sjálfkrafa með því að skrifa 1 í skrána "/proc/sys/kernel/unprivileged_bpf_disabled" eða keyra skipunina "sysctl -w kernel.unprivileged_bpf_disabled=1". Til að loka fyrir árásir í gegnum græjur er mælt með því að nota LFENCE skipunina í kóðahlutum sem hugsanlega leiða til vangaveltukenndrar keyrslu. Það er athyglisvert að sjálfgefin stilling flestra dreifinga er... Linux Nauðsynlegar öryggisráðstafanir eru þegar til staðar, nægjanlegar til að koma í veg fyrir eBPF árásina sem vísindamennirnir sýndu fram á. Tillögur Intel um að gera óheimilan aðgang að eBPF óvirkan eru einnig notaðar sjálfgefið, frá og með kjarnanum. Linux 5.16 og verður afturflutt í eldri greinar.
Hugmyndalega séð er BHI útvíkkuð útgáfa af Spectre-v2 árásinni, sem fer framhjá viðbótarvörnum (Intel eIBRS og Arm CSV2) og lekur gögnum með því að skipta gildum inn í Branch History Buffer, alþjóðlegt greinarsögubiðminni sem notað er í örgjörvum til að bæta nákvæmni greinarspár með því að taka tillit til sögu fyrri greina. Árásin, með því að meðhöndla greinarsöguna, skapar aðstæður fyrir rangar spár greinanna og vangaveltur um framkvæmd nauðsynlegra skipana, en niðurstöðurnar eru geymdar í skyndiminni.
Fyrir utan að nota Branch History Buffer í stað Branch Target Buffer, er nýja árásin eins og Spectre-v2. Markmið árásarmannsins er að skapa aðstæður þannig að vistfangið sem tekið er við íhugandi aðgerð sé tekið úr markgagnasvæðinu. Eftir að íhugandi óbeint stökk hefur verið framkvæmt, er stökkvistfangið sem lesið er úr minninu áfram í skyndiminninu, og eftir það er hægt að sækja það með einni af aðferðunum til að ákvarða innihald skyndiminnis sem byggir á því að greina breytileika aðgangstíma milli gagna í skyndiminninu og þeim sem ekki eru í skyndiminninu.
Heimild: opennet.ru
