BHI는 Intel 및 ARM 프로세서의 새로운 Spectre 클래스 취약점입니다.

Vrije Universiteit Amsterdam의 연구원 그룹은 Intel 및 ARM 프로세서의 마이크로아키텍처 구조에서 새로운 취약점을 확인했습니다. 이는 Spectre-v2 취약점의 확장 버전으로, 프로세서에 추가된 eIBRS 및 CSV2 보호 메커니즘을 우회할 수 있게 해줍니다. . 이 취약점에는 BHI(Branch History Injection, CVE-2022-0001), BHB(Branch History Buffer, CVE-2022-0002), Spectre-BHB(CVE-2022-23960) 등 여러 이름이 붙었습니다. 동일한 문제(BHI - 사용자 프로세스 및 커널과 같은 다양한 권한 수준에 영향을 미치는 공격, BHB - eBPF JIT 및 커널과 같은 동일한 권한 수준의 공격)

연구원들은 사용자 공간의 커널 메모리에서 임의의 데이터를 추출할 수 있는 작동하는 익스플로잇을 시연했습니다. 예를 들어, 준비된 익스플로잇을 사용하여 /etc/shadow 파일에서 로드된 루트 사용자 비밀번호의 해시가 포함된 문자열을 커널 버퍼에서 추출하는 것이 어떻게 가능한지 보여줍니다. 이 익스플로잇은 사용자가 로드한 eBPF 프로그램을 사용하여 하나의 권한 수준(커널 간 공격) 내의 취약점을 악용할 가능성을 보여줍니다. 커널 코드에서 eBPF 기존 Spectre 가젯 대신 명령의 추측 실행으로 이어지는 명령 시퀀스를 사용할 수도 있습니다.

이 취약점은 Atom 제품군의 프로세서를 제외한 대부분의 최신 Intel 프로세서에 나타납니다. ARM 프로세서 중에서 Cortex-A15, Cortex-A57, Cortex-A7*, Cortex-X1, Cortex-X2, Cortex-A710, Neoverse N1, Neoverse N2, Neoverse V1 및 일부 Cortex-R 칩이 이 문제의 영향을 받을 수 있습니다. 연구에 따르면 이 취약점은 AMD 프로세서에는 나타나지 않습니다. 문제를 제거하기 위해 취약점을 차단하기 위한 여러 소프트웨어 방법이 제안되었으며, 이는 향후 CPU 모델에 하드웨어 보호 기능이 등장하기 전에 사용할 수 있습니다.

eBPF 하위 시스템을 통한 공격을 차단하려면 "/proc/sys/kernel/unprivileged_bpf_disabled" 파일에 1을 쓰거나 "sysctl -w kernel" 명령을 실행하여 권한 없는 사용자가 eBPF 프로그램을 다운로드하는 기능을 기본적으로 비활성화하는 것이 좋습니다. unprivileged_bpf_disabled=1”입니다. 가젯 공격을 차단하려면 잠재적으로 추측 실행으로 이어질 수 있는 코드 영역에서 LFENCE 명령을 사용하는 것이 좋습니다. 대부분의 Linux 배포판의 기본 구성에는 연구원이 입증한 eBPF 공격을 차단하는 데 충분한 필수 보호 조치가 이미 포함되어 있다는 점은 주목할 만합니다. eBPF에 대한 권한 없는 액세스를 비활성화하기 위한 Intel의 권장 사항도 Linux 커널 5.16 이후의 기본값이며 이전 분기로 백포트될 예정입니다.

개념적으로 BHI는 Spectre-v2 공격의 확장 버전으로, 추가 보호(Intel eIBRS 및 Arm CSV2)를 우회하고 데이터 유출을 구성하기 위해 Branch History Buffer에서 값 대체를 사용하고 예측을 높이기 위해 CPU에서 사용됩니다. 과거 전환 이력을 고려하여 정확도 분기. 공격 중에 전환 기록을 조작하여 전환을 잘못 예측하고 필요한 명령을 추측적으로 실행하기 위한 조건이 생성되며 그 결과는 캐시에 저장됩니다.

Branch Target Buffer 대신 Branch History Buffer를 사용한다는 점을 제외하면 새로운 공격은 Spectre-v2와 동일합니다. 공격자의 임무는 추측 작업을 수행할 때 정의된 데이터 영역에서 주소를 가져오도록 조건을 만드는 것입니다. 추론적 간접 점프를 수행한 후 메모리에서 읽은 점프 주소는 캐시에 남아 있으며, 그 후 캐시 내용을 결정하는 방법 중 하나를 사용하여 캐시된 액세스 시간과 캐시되지 않은 액세스 시간의 변화를 분석하여 이를 검색할 수 있습니다. 데이터.

출처 : opennet.ru