AMD 프로세서의 예측 명령 실행 메커니즘의 취약성

Grsecurity 프로젝트는 무조건 정방향 점프 작업 후 추측 명령 실행과 관련된 AMD 프로세서의 새로운 취약점(CVE-2021-26341)에 대한 공격 방법에 대한 세부 정보와 시연을 게시했습니다. 공격이 성공하면 취약점으로 인해 메모리의 임의 영역 내용을 확인할 수 있습니다. 예를 들어 연구원들은 ePBF 커널 하위 시스템에서 권한 없는 코드 실행을 통해 주소 레이아웃을 결정하고 KASLR 보호 메커니즘(커널 메모리 랜덤화)을 우회할 수 있는 익스플로잇을 준비했습니다. 커널 메모리의 내용을 유출할 수 있는 다른 공격 시나리오도 배제되지 않습니다.

이 취약성으로 인해 추측 실행 중에 프로세서가 메모리의 점프 명령(SLS, 직선 추측)에 따라 명령을 추측적으로 처리하는 조건을 만들 수 있습니다. 동시에 이러한 최적화는 조건부 점프 연산자뿐만 아니라 JMP, RET 및 CALL과 같은 직접적인 무조건 점프를 암시하는 명령어에도 적용됩니다. 무조건 분기 명령 뒤에는 실행을 목적으로 하지 않는 임의의 데이터가 올 수 있습니다. 분기가 다음 명령의 실행을 의미하지 않는다고 판단한 후 프로세서는 단순히 상태를 롤백하고 추측 실행을 고려하지 않지만 명령 실행의 흔적은 일반 캐시에 남아 분석에 사용할 수 있습니다. 사이드 채널 검색 방법을 사용합니다.

Spectre-v1 취약점을 악용할 때와 마찬가지로 공격을 하려면 예측 실행으로 이어지는 특정 명령 시퀀스(가젯)가 커널에 있어야 합니다. 이 경우 취약점을 차단하는 것은 코드에서 그러한 가젯을 식별하고 예측 실행을 차단하는 추가 지침을 추가하는 것으로 귀결됩니다. 예측 실행 조건은 eBPF 가상 머신에서 실행되는 권한이 없는 프로그램을 사용하여 생성할 수도 있습니다. eBPF를 사용하여 가젯을 구성하는 기능을 차단하려면 시스템에서 eBPF에 대한 권한 없는 액세스를 비활성화하는 것이 좋습니다("sysctl -w kernel.unprivileged_bpf_disabled=1").

이 취약점은 1세대 및 2세대 AMD EPYC 및 AMD Ryzen Threadripper 프로세서와 AMD Ryzen 2000/3000/4000/5000, AMD Athlon, AMD Athlon X, AMD Ryzen Threadripper를 포함한 Zen3 및 ZenXNUMX 마이크로아키텍처 기반 프로세서에 영향을 미칩니다. PRO 및 APU 시리즈 A. 추측성 명령어 실행을 차단하기 위해 분기 연산(RET, JMP, CALL) 후 INTXNUMX 또는 LFENCE 명령어를 호출하는 것이 좋습니다.

출처 : opennet.ru