פגיעויות ב-eBPF שעלולות לעקוף את הגנת התקפת Spectre 4

זוהו שתי נקודות תורפה בליבת לינוקס המאפשרות לתת-מערכת eBPF לעקוף את הגנת התקפת Spectre v4 (SSB, Speculative Store Bypass). באמצעות תוכנית BPF ללא פריבילגיה, תוקף יכול ליצור תנאים לביצוע ספקולטיבי של פעולות מסוימות ולקבוע את התוכן של אזורים שרירותיים של זיכרון הליבה. תת-מערכות ליווי eBPF בקרנל קיבלו גישה לניצול אב טיפוס המדגים את האפשרות לבצע התקפות בפועל. הבעיות תוקנו בצורה של תיקונים (1, 2) שיהיו חלק מעדכון ליבת לינוקס הבא. ההפצות עדיין לא עודכנו (Debian, RHEL, SUSE, Arch, Fedora, Ubuntu).

שיטת ההתקפה של Spectre 4 מבוססת על שחזור נתונים שהתיישבו במטמון המעבד לאחר השלכת התוצאה של ביצוע ספקולטיבי של פעולות בעת עיבוד פעולות כתיבה וקריאה מתחלפות תוך שימוש בכתובת עקיפה. כאשר פעולת קריאה באה בעקבות פעולת כתיבה (לדוגמה, mov [rbx + rcx], 0x0; mov rax, [rdx + rsi]), ייתכן שהסטת כתובת הקריאה כבר ידועה עקב ביצוע פעולות דומות (מבצעים פעולות קריאה בתדירות גבוהה הרבה יותר וניתן לבצע קריאה מהמטמון) והמעבד יכול לבצע קריאה ספקולטיבית לפני כתיבה מבלי לחכות לחישוב היסט עקיף הכתיבה.

אם, לאחר חישוב ההיסט, מזוהה חיתוך של אזורי זיכרון לכתיבה וקריאה, המעבד פשוט יזרוק את תוצאת הקריאה שכבר הושגה ספקולטיבית ויחזור על הפעולה הזו. תכונה זו מאפשרת להוראת הקריאה לגשת לערך הישן בכתובת כלשהי בזמן שפעולת החנות טרם הושלמה. לאחר ביטול פעולה ספקולטיבית לא מוצלחת, עקבות ביצועה נשארים במטמון, ולאחר מכן ניתן להשתמש באחת השיטות לקביעת תוכן המטמון על בסיס ניתוח שינויים בזמן הגישה לנתונים שמור ולא שמור לאחזור. זה.

הפגיעות הראשונה (CVE-2021-35477) נגרמת על ידי פגם במנגנון האימות של תוכנית BPF. כדי להגן מפני מתקפת Spectre 4, המאמת מוסיף הוראה נוספת לאחר פעולות אחסון שעלולות להיות בעייתיות לזיכרון, ושומר את הערך של אפס כדי להדיח עקבות של הפעולה הקודמת. פעולת הכתיבה האפסית הייתה אמורה להיות מהירה מאוד ולחסום ביצוע ספקולטיבי, מכיוון שהיא תלויה רק ​​במצביע למסגרת המחסנית של BPF. אך למעשה, התברר שניתן ליצור תנאים שבהם ההוראה המובילה לביצוע ספקולטיבי מספיקה להתבצע לפני פעולת החנות המונעת.

הפגיעות השנייה (CVE-2021-3455) קשורה לעובדה שכאשר פעולות שמירת זיכרון שעלולות להיות מסוכנות מתגלות על ידי מאמת ה-BPF, אזורים לא מאותחלים של מחסנית ה-BPF לא נלקחים בחשבון, פעולת הכתיבה הראשונה אליה אינה מוגנת . תכונה זו מובילה לאפשרות לבצע פעולת קריאה ספקולטיבית, תלויה באזור זיכרון לא מאותחל, לפני ביצוע הוראת חנות. זיכרון חדש לערימת BPF מוקצה מבלי לבדוק את התוכן שכבר נמצא בזיכרון המוקצה, ויש דרך לנהל את התוכן של אזור הזיכרון שיוקצה לאחר מכן לערימת BPF לפני תחילת תוכנית ה-BPF.

מקור: OpenNet.ru