Grupp ta 'riċerkaturi mill-ETH Zurich identifika attakk ġdid fuq il-mekkaniżmu ta' eżekuzzjoni spekulattiva ta 'tranżizzjonijiet indiretti fis-CPU, li jagħmilha possibbli li tiġi estratta informazzjoni mill-memorja tal-qalba jew jorganizza attakk fuq is-sistema ospitanti minn magni virtwali. Il-vulnerabbiltajiet għandhom l-isem ta' kodiċi Retbleed (CVE-2022-29900, CVE-2022-29901) u huma qrib fin-natura tal-attakki Spectre-v2. Id-differenza tiġi stabbiliti għall-organizzazzjoni ta 'eżekuzzjoni spekulattiva ta' kodiċi arbitrarju meta tipproċessa l-istruzzjoni "ret" (ritorn), li jġib l-indirizz biex taqbeż mill-munzell, minflok qabża indiretta bl-użu tal-istruzzjoni "jmp", tagħbija l-indirizz minn memorja jew reġistru tas-CPU.
Attakkant jista 'joħloq kundizzjonijiet għal tbassir ta' tranżizzjoni mhux korrett u jorganizza transizzjoni mmirata u spekulattiva għal blokka ta 'kodiċi li mhix prevista mil-loġika tal-eżekuzzjoni tal-programm. Fl-aħħar mill-aħħar, il-proċessur se jiddetermina li t-tbassir tal-fergħa ma kienx iġġustifikat u se jreġġa 'lura l-operazzjoni għall-istat oriġinali tagħha, iżda d-dejta pproċessata waqt l-eżekuzzjoni spekulattiva tispiċċa fil-cache u l-buffers mikroarkitettoniċi. Jekk blokka eżegwita bi żball taċċessa memorja, allura l-eżekuzzjoni spekulattiva tagħha twassal biex id-dejta tinqara mill-memorja tiġi depożitata fil-cache kondiviża.
Biex tiddetermina d-dejta li tibqa 'fil-cache wara operazzjonijiet spekulattivi, attakkant jista' juża tekniki tal-kanal sekondarji biex jiddetermina dejta residwa, bħall-analiżi tal-bidliet fil-ħinijiet ta 'aċċess għal data cached u mhux cache. Biex tiġi estratta informazzjoni apposta minn żoni f'livell ta' privileġġ ieħor (pereżempju, mill-memorja tal-qalba), jintużaw "gadgets" - sekwenzi ta 'kmandi preżenti fil-qalba li huma adattati biex jaqraw b'mod spekulattiv data mill-memorja skont kundizzjonijiet esterni li jistgħu jiġu influwenzati minn l-attakkant.
Biex tipproteġi kontra attakki klassiċi tal-klassi Spectre li jużaw istruzzjonijiet ta 'qabża kondizzjonali u indiretti, il-biċċa l-kbira tas-sistemi operattivi jużaw it-teknika "retpoline", li hija bbażata fuq is-sostituzzjoni ta' operazzjonijiet ta 'qabża indiretta bl-istruzzjoni "ret", li għaliha l-proċessuri jużaw unità separata ta' tbassir tal-istat tal-munzell. ma tużax blokk ta' tbassir tal-fergħa. Meta retpoline ġie introdott fl-2018, kien maħsub li l-manipulazzjonijiet tal-indirizzi bħal Spectre ma kinux prattiċi għal fergħat spekulattivi bl-użu tal-istruzzjoni "ret".
Ir-riċerkaturi li żviluppaw il-metodu tal-attakk Retbleed urew il-possibbiltà li jinħolqu kundizzjonijiet mikroarkitettoniċi biex tinbeda transizzjoni spekulattiva bl-użu tal-istruzzjoni "ret" u ppubblikaw għodod lesti biex jidentifikaw sekwenzi ta 'struzzjonijiet (gadgets) adattati għall-isfruttament tal-vulnerabbiltà fil-qalba tal-Linux, li fihom dawn il-kundizzjonijiet jimmanifestaw ruħhom.
Matul ir-riċerka, tħejja sfrutt ta 'ħidma li jippermetti, fuq sistemi b'CPUs Intel, li tiġi estratta data arbitrarja mill-memorja tal-qalba minn proċess mhux privileġġjat fl-ispazju tal-utent b'veloċità ta' 219 bytes kull sekonda u preċiżjoni ta '98%. Fuq il-proċessuri AMD, l-effiċjenza tal-isfruttament hija ħafna ogħla — ir-rata ta 'tnixxija hija 3.9 KB kull sekonda. Bħala eżempju prattiku, nuru kif tuża l-isfruttament propost biex tiddetermina l-kontenut tal-fajl /etc/shadow. Fuq sistemi b'CPUs Intel, l-attakk biex jiġi ddeterminat il-hash tal-password tal-utent tal-għeruq sar f'28 minuta, u fuq sistemi b'CPUs AMD - f'6 minuti.
L-attakk ġie kkonfermat għall-ġenerazzjonijiet 6-8 ta 'proċessuri Intel li ġew rilaxxati qabel Q3 2019 (inkluż Skylake), u proċessuri AMD ibbażati fuq mikroarkitetturi Zen 1, Zen 1+, u Zen 2 li ġew rilaxxati qabel Q2021 3. F'mudelli ta 'proċessuri aktar ġodda bħal AMD ZenXNUMX u Intel Alder Lake, kif ukoll fil-proċessuri ARM, il-problema hija mblukkata minn mekkaniżmi ta' protezzjoni eżistenti. Pereżempju, l-użu tal-istruzzjonijiet tal-IBRS (Indirect Branch Restricted Speculation) jgħin biex jipproteġi kontra attakki.
Ġie ppreparat sett ta 'bidliet għall-kernel tal-Linux u l-hypervisor Xen, li jimblokka l-problema fis-softwer fuq CPUs anzjani. Il-garża proposta għall-kernel tal-Linux tibdel 68 fajl, iżid 1783 linja, u tħassar 387 linja. Sfortunatament, il-protezzjoni twassal għal spejjeż ġenerali sinifikanti - fit-testi mwettqa fuq proċessuri AMD u Intel, it-tnaqqis fil-prestazzjoni huwa stmat minn 14% għal 39%. Huwa aktar preferibbli li tuża protezzjoni bbażata fuq struzzjonijiet IBRS, disponibbli f'ġenerazzjonijiet ġodda ta 'CPUs Intel u appoġġjati li jibdew bil-kernel Linux 4.19.
Fuq il-proċessuri Intel, is-sostituzzjoni tal-indirizz għal qabża indiretta spekulattiva titwettaq bis-saħħa ta 'karatteristika li tidher meta jseħħ overflow permezz tal-limitu t'isfel (underflow) fir-Ritorn Stack Buffer. Meta jseħħu kundizzjonijiet bħal dawn, l-istruzzjoni "ret" tibda tapplika loġika tal-għażla tal-indirizzi simili għal dik użata għal qbiż indirett normali. Instabu aktar minn elf post fil-kernel tal-Linux li joħolqu kundizzjonijiet biex jinbeda tali backflow u huma aċċessibbli permezz ta 'sejħiet tas-sistema.
Fuq il-proċessuri AMD, l-eżekuzzjoni spekulattiva tal-istruzzjoni "ret" titwettaq mingħajr referenza għal buffer speċifiku għall-munzell (Return Address Stack) u l-unità tat-tbassir tal-fergħa tqis l-istruzzjoni "ret" mhux bħala ritorn ta 'kontroll, iżda bħala fergħa indiretta , u, għaldaqstant, juża d-dejta għal transizzjonijiet indiretti ta' tbassir. Taħt dawn il-kundizzjonijiet, prattikament kwalunkwe operazzjoni "ret" li tista' tintlaħaq permezz ta' sejħa tas-sistema tista' tiġi sfruttata.
Barra minn hekk, ġiet identifikata wkoll kwistjoni oħra fis-CPUs AMD (CVE-2022-23825, Branch Type Confusion) relatata mal-implimentazzjoni ta 'fergħat fittizji - kundizzjonijiet għat-tbassir tal-fergħat jistgħu jseħħu anke mingħajr l-istruzzjonijiet meħtieġa tal-fergħa, li tippermetti li tinfluwenza l-buffer tat-tbassir tal-fergħa. mingħajr l-istruzzjoni "ret". Din il-karatteristika tikkomplika b'mod sinifikanti l-implimentazzjoni tal-protezzjoni u teħtieġ tindif aktar attiv tal-buffer tat-tbassir tal-fergħa. Iż-żieda ta 'protezzjoni sħiħa mal-qalba hija mistennija li żżid l-overhead b'209%.
Sors: opennet.ru