פגיעות במנגנון הביצוע הספקולטיבי של מעבדי AMD

פרויקט Grsecurity פרסם פרטים והדגמה של שיטת ההתקפה לפגיעות חדשה (CVE-2021-26341) במעבדי AMD הקשורים לביצוע ספקולטיבי של הוראות לאחר פעולות קדימה ללא תנאי. אם ההתקפה מצליחה, הפגיעות מאפשרת לקבוע את התוכן של אזורי זיכרון שרירותיים. לדוגמה, חוקרים הכינו ניצול המאפשר להם לקבוע את פריסת הכתובות ולעקוף את מנגנון ההגנה KASLR (קנדות זיכרון ליבה) על ידי ביצוע קוד לא מוגן בתת מערכת ליבת ePBF. לא ניתן לשלול תרחישי תקיפה אחרים שעלולים להוביל לדליפה של תוכן זיכרון ליבה.

הפגיעות מאפשרת ליצור תנאים שבהם המעבד, במהלך ביצוע מנע, מעבד ספקולטיבית את ההוראה מיד לאחר הוראת הקפיצה בזיכרון (SLS, Straight Line Speculation). יתרה מכך, אופטימיזציה כזו פועלת לא רק עבור מפעילי קפיצה מותנית, אלא גם עבור הוראות המרמזות על קפיצה ישירה ללא תנאי, כגון JMP, RET ו-CALL. בעקבות הוראות קפיצה ללא תנאי, ניתן למקם נתונים שרירותיים שאינם מיועדים לביצוע. לאחר קביעה שענף אינו כרוך בביצוע ההוראה הבאה, המעבד פשוט מחזיר את המצב לאחור ומתעלם מביצוע ספקולטיבי, אך עקבות ביצוע הפקודה נשארים במטמון המשותף וזמין לניתוח באמצעות טכניקות שליפה של ערוץ צדדי.

בדומה לניצול הפגיעות של Spectre-v1, המתקפה דורשת נוכחות של רצפים מסוימים של הוראות (גאדג'טים) בקרנל שמובילים לביצוע ספקולטיבי. חסימת פגיעות במקרה זה מסתכמת בזיהוי גאדג'טים כאלה בקוד והוספת הוראות נוספות להם שחוסמות ביצוע ספקולטיבי. תנאים לביצוע ספקולטיבי יכולים להיווצר גם על ידי תוכניות ללא פריבילגיה הפועלות במכונה הוירטואלית eBPF. כדי לחסום את היכולת לבנות גאדג'טים באמצעות eBPF, מומלץ להשבית גישה בלתי מוסמכת ל-eBPF במערכת ("sysctl -w kernel.unprivileged_bpf_disabled=1").

הפגיעות משפיעה על מעבדים המבוססים על המיקרו-ארכיטקטורה Zen1 ו-Zen2, כולל הדור הראשון והשני של מעבדי AMD EPYC ו-AMD Ryzen Threadripper, וכן AMD Ryzen 2000/3000/4000/5000, AMD Athlon, AMD Athlon X, AMD Ryzen Threadripper מעבדי סדרת PRO ו-APU A. כדי לחסום ביצוע ספקולטיבי של הוראות, מומלץ לקרוא להוראות INT3 או LFENCE לאחר פעולות סניף (RET, JMP, CALL).

מקור: OpenNet.ru