Retbleed သည် Intel နှင့် AMD CPU များ၏ မှန်းဆလုပ်ဆောင်မှု ယန္တရားအပေါ် တိုက်ခိုက်မှုအသစ်တစ်ခုဖြစ်သည်။

ETH Zurich မှ သုတေသီအဖွဲ့တစ်ဖွဲ့သည် CPU အတွင်းရှိ သွယ်ဝိုက်သောအကူးအပြောင်းများကို မှန်းဆလုပ်ဆောင်သည့် ယန္တရားကို တိုက်ခိုက်မှုအသစ်တစ်ခုအား kernel memory မှ အချက်အလက်များကို ထုတ်ယူရန် သို့မဟုတ် virtual machines မှ host system ကို တိုက်ခိုက်ရန် စီစဉ်နိုင်စေသည့် တိုက်ခိုက်မှုအသစ်တစ်ခုကို ဖော်ထုတ်တွေ့ရှိခဲ့သည်။ အားနည်းချက်များကို Retbleed (CVE-2022-29900၊ CVE-2022-29901) ဟု အမည်ပေးထားပြီး Spectre-v2 တိုက်ခိုက်မှုများနှင့် နီးစပ်ပါသည်။ ခြားနားချက်မှာ "jmp" ညွှန်ကြားချက်ကို အသုံးပြု၍ လိပ်စာကို တင်ခြင်းအစား stack မှခုန်ရန်လိပ်စာကို ရယူသည့် "ret" (return) ညွှန်ကြားချက်ကို လုပ်ဆောင်သည့်အခါ မထင်မှတ်ထားသောကုဒ်ကို မှန်းဆလုပ်ဆောင်သည့် အဖွဲ့အစည်းတွင် ကွာခြားချက်မှာ သက်ရောက်ပါသည်။ မန်မိုရီ သို့မဟုတ် CPU မှတ်ပုံတင်ခြင်း။

တိုက်ခိုက်သူသည် မှားယွင်းသောအကူးအပြောင်းခန့်မှန်းမှုအတွက် အခြေအနေများကို ဖန်တီးနိုင်ပြီး ပရိုဂရမ်လုပ်ဆောင်မှုဆိုင်ရာ ယုတ္တိဗေဒအရ ပေးဆောင်ခြင်းမရှိသော ပစ်မှတ်ထားသော၊ မှန်းဆထားသော အကူးအပြောင်းတစ်ခုသို့ စုစည်းနိုင်သည်။ အဆုံးစွန်အားဖြင့်၊ ပရိုဆက်ဆာသည် ဌာနခွဲခန့်မှန်းချက်သည် တရားမျှတမှုမရှိကြောင်း ဆုံးဖြတ်မည်ဖြစ်ပြီး လုပ်ဆောင်ချက်အား ၎င်း၏မူလအခြေအနေသို့ ပြန်လည်ရောက်ရှိစေမည်ဖြစ်သော်လည်း မှန်းဆလုပ်ဆောင်မှုအတွင်း လုပ်ဆောင်ခဲ့သောဒေတာများသည် ကက်ရှ်နှင့် မိုက်ခရိုဗိသုကာဆိုင်ရာ ကြားခံများတွင် အဆုံးအဖြတ်ပေးမည်ဖြစ်သည်။ မှားယွင်းစွာ လုပ်ဆောင်ထားသော ဘလောက်တစ်ခုသည် မန်မိုရီကို ဝင်ရောက်လာပါက ၎င်း၏ မှန်းဆလုပ်ဆောင်မှုသည် မျှဝေထားသော ကက်ရှ်တွင် သိမ်းဆည်းထားသည့် မမ်မိုရီမှ ဒေတာများကို ဖတ်နိုင်စေမည်ဖြစ်သည်။

မှန်းဆလုပ်ဆောင်မှုများပြီးနောက် ကက်ရှ်တွင် ကျန်ရှိနေသည့် ဒေတာကို ဆုံးဖြတ်ရန်၊ တိုက်ခိုက်သူသည် ကက်ရှ်နှင့် ကက်ရှ်မထားသည့် ဒေတာများသို့ ဝင်ရောက်ချိန်များတွင် အပြောင်းအလဲများကို ပိုင်းခြားစိတ်ဖြာခြင်းကဲ့သို့သော လက်ကျန်ဒေတာကို ဆုံးဖြတ်ရန် ဘေးချန်နယ်နည်းပညာများကို အသုံးပြုနိုင်သည်။ အခြားအခွင့်ထူးအဆင့်ရှိ နယ်ပယ်များမှ အချက်အလက်များကို ရည်ရွယ်ချက်ရှိရှိ ထုတ်ယူရန် (ဥပမာ၊ kernel memory မှ) "gadgets" ကို အသုံးပြုသည် - လွှမ်းမိုးနိုင်သော ပြင်ပအခြေအနေများပေါ်မူတည်၍ memory မှ အချက်အလက်များကို မှန်းဆဖတ်ရှုရန်အတွက် သင့်လျော်သော kernel တွင် ပါရှိသည့် commands များ တိုက်ခိုက်သူ။

အခြေအနေအရနှင့် သွယ်ဝိုက်ခုန်ခြင်း ညွှန်ကြားချက်များကို အသုံးပြုသည့် ဂန္တဝင် Spectre အတန်းတိုက်ခိုက်မှုများကို ကာကွယ်ရန်၊ လည်ပတ်မှုစနစ်အများစုသည် “ret” ညွှန်ကြားချက်ဖြင့် သွယ်ဝိုက်ခုန်ခြင်းများကို အစားထိုးခြင်းအပေါ် အခြေခံထားသည့်၊ ပရိုဆက်ဆာများသည် သီးခြား stack state ခန့်မှန်းယူနစ်ကို အသုံးပြုသည့် “retpoline” နည်းပညာကို အသုံးပြုသည်။ . အကိုင်းအခက် ခန့်မှန်းမှု ဘလောက်ကို မသုံးပါ။ 2018 ခုနှစ်တွင် retpoline ကိုမိတ်ဆက်သောအခါ Spectre-like address manipulations သည် "ret" instruction ကိုအသုံးပြု၍ မှန်းဆထားသောအကိုင်းအခက်များကို လက်တွေ့မကျဟု ယုံကြည်ခဲ့သည်။

Retbleed တိုက်ခိုက်မှုနည်းလမ်းကို တီထွင်ခဲ့သော သုတေသီများသည် "ret" ညွှန်ကြားချက်ကို အသုံးပြု၍ မှန်းဆအကူးအပြောင်းတစ်ခုစတင်ရန်အတွက် microarchitectural အခြေအနေများဖန်တီးနိုင်ခြေကို သရုပ်ပြပြီး Linux kernel အတွင်းရှိ အားနည်းချက်များကို အသုံးချရန်အတွက် အဆင်သင့်လုပ်ထားသော tools များကို ထုတ်ဝေခြင်း၊ ထိုအခြေအနေမျိုးတွင် သူတို့ကိုယ်သူတို့ ပေါ်လွင်လာသည်။

သုတေသနပြုစဉ်အတွင်း၊ Intel CPU များပါရှိသော စနစ်များတွင် အသုံးပြုသူနေရာလွတ်ရှိ အခွင့်ထူးမခံသော လုပ်ငန်းစဉ်တစ်ခုမှ တစ်စက္ကန့်လျှင် 219 bytes နှင့် 98% တိကျမှု 3.9% ဖြင့် kernel memory မှ မတရားသောဒေတာကို ထုတ်ယူခွင့်ပြုသည့် သုတေသနပြုမှုတစ်ခုကို ပြင်ဆင်ခဲ့ပါသည်။ AMD ပရိုဆက်ဆာများတွင်၊ exploit ၏ထိရောက်မှုသည်ပိုမိုမြင့်မားသည် - ပေါက်ကြားမှုနှုန်းသည်တစ်စက္ကန့်လျှင် 28 KB ဖြစ်သည်။ လက်တွေ့နမူနာအနေဖြင့် /etc/shadow ဖိုင်၏ အကြောင်းအရာများကို ဆုံးဖြတ်ရန် အဆိုပြုထားသော exploit ကို အသုံးပြုနည်းကို ပြသပါသည်။ Intel CPU များပါရှိသော စနစ်များတွင်၊ အသုံးပြုသူ စကားဝှက် hash ကို 6 မိနစ်အတွင်း ဆုံးဖြတ်ရန် တိုက်ခိုက်မှုနှင့် AMD CPU များရှိသည့် စနစ်များတွင် - XNUMX မိနစ်အတွင်း လုပ်ဆောင်ခဲ့သည်။

Q6 8 (Skylake အပါအဝင်) မတိုင်မီထွက်ရှိခဲ့သည့် Q3 2019 မတိုင်မီထွက်ရှိခဲ့သည့် Intel processor မျိုးဆက် 1-1 နှင့် Zen 2၊ Zen 2021+ နှင့် Zen 3 microarchitectures များကိုအခြေခံသည့် AMD ပရိုဆက်ဆာများကို အတည်ပြုပြီးဖြစ်သည်။ AMD ZenXNUMX နှင့် Intel Alder Lake ကဲ့သို့သော ပရိုဆက်ဆာမော်ဒယ်အသစ်များတွင်၊ အပြင် ARM ပရိုဆက်ဆာများတွင် ပြဿနာကို လက်ရှိကာကွယ်မှုယန္တရားများဖြင့် ပိတ်ဆို့ထားသည်။ ဥပမာအားဖြင့်၊ IBRS (Indirect Branch Restricted Speculation) ညွှန်ကြားချက်များကို အသုံးပြု၍ တိုက်ခိုက်မှုများကို ကာကွယ်ပေးသည်။

CPU အဟောင်းများရှိ ဆော့ဖ်ဝဲလ်များတွင် ပြဿနာကို ပိတ်ဆို့မည့် Linux kernel နှင့် Xen hypervisor အတွက် ပြောင်းလဲမှုအစုံကို ပြင်ဆင်ထားပါသည်။ Linux kernel အတွက် အဆိုပြုထားသော patch သည် ဖိုင် 68 ဖိုင်ကို ပြောင်းလဲကာ 1783 လိုင်းကို ပေါင်းထည့်ကာ 387 လိုင်းကို ဖျက်သည်။ ကံမကောင်းစွာဖြင့်၊ အကာအကွယ်သည် သိသာထင်ရှားသော စရိတ်စကများကို ဖြစ်ပေါ်စေသည် - AMD နှင့် Intel ပရိုဆက်ဆာများတွင် လုပ်ဆောင်ခဲ့သော စာသားများတွင် စွမ်းဆောင်ရည်ကျဆင်းမှုသည် 14% မှ 39% အထိဖြစ်သည်။ Intel CPUs မျိုးဆက်သစ်များတွင်ရရှိနိုင်ပြီး Linux kernel 4.19 မှစတင်၍ ပံ့ပိုးပေးထားသည့် IBRS ညွှန်ကြားချက်များအပေါ်အခြေခံ၍ အကာအကွယ်ကိုအသုံးပြုခြင်းက ပိုကောင်းပါတယ်။

Intel ပရိုဆက်ဆာများတွင်၊ Return Stack Buffer အတွင်းရှိ အောက်ပိုင်းဘောင် (အောက်ရေစီးကြောင်း) မှတဆင့် လျှံတက်လာသည့်အခါ မှန်းဆနိုင်သော သွယ်ဝိုက်ခုန်မှုအတွက် လိပ်စာအစားထိုးခြင်းကို လုပ်ဆောင်ပါသည်။ ထိုသို့သော အခြေအနေများ ဖြစ်ပေါ်လာသောအခါ၊ "ret" ညွှန်ကြားချက်သည် ပုံမှန်သွယ်ဝိုက်ခုန်ခြင်းအတွက် အသုံးပြုသည့် လိပ်စာရွေးချယ်ခြင်းဆိုင်ရာ ယုတ္တိဗေဒကို စတင်ကျင့်သုံးပါသည်။ ထိုသို့သော backflow ကိုစတင်ရန်နှင့် system calls မှတဆင့်ဝင်ရောက်နိုင်သည့်အခြေအနေများကိုဖန်တီးပေးသော Linux kernel တွင်နေရာပေါင်းတစ်ထောင်ကျော်ကိုတွေ့ရှိထားသည်။

AMD ပရိုဆက်ဆာများတွင်၊ “ret” ညွှန်ကြားချက်ကို မှန်းဆလုပ်ဆောင်မှုသည် stack-specific buffer (Return Address Stack) ကို ရည်ညွှန်းခြင်းမရှိဘဲ လုပ်ဆောင်ပြီး ဌာနခွဲမှ ခန့်မှန်းချက်ယူနစ်သည် “ret” ညွှန်ကြားချက်ကို ထိန်းချုပ်မှုပြန်စဥ်တစ်ခုအဖြစ်မဟုတ်ဘဲ သွယ်ဝိုက်သောဌာနခွဲတစ်ခုအဖြစ် သတ်မှတ်သည်။ နှင့်၊ ထို့ကြောင့်၊ သွယ်ဝိုက်သောအကူးအပြောင်းများကို ခန့်မှန်းရန်အတွက် ဒေတာကို အသုံးပြုသည်။ ဤအခြေအနေများအောက်တွင်၊ စနစ်ခေါ်ဆိုမှုမှတစ်ဆင့် လက်လှမ်းမီနိုင်သော "ret" လုပ်ဆောင်ချက်မှန်သမျှကို အသုံးချနိုင်သည်။

ထို့အပြင်၊ AMD CPUs (CVE-2022-23825၊ စိတ်ကူးယဉ်အကိုင်းအခက်များကို အကောင်အထည်ဖော်ခြင်းနှင့်ပတ်သက်သော ဘဏ်ခွဲအမျိုးအစားရှုပ်ထွေးမှု) တွင် အခြားပြဿနာတစ်ခုကိုလည်း တွေ့ရှိနိုင်သည် - ဌာနခွဲခန့်မှန်းခြင်းအတွက် အခြေအနေများသည် လိုအပ်သောဌာနခွဲညွှန်ကြားချက်များမပါဘဲ ဘဏ်ခွဲခန့်မှန်းချက်ကြားခံကို လွှမ်းမိုးနိုင်သည် ညွှန်ကြားချက်မပါဘဲ "ret" ။ ဤအင်္ဂါရပ်သည် ကာကွယ်မှုကို အကောင်အထည်ဖော်ရာတွင် သိသိသာသာရှုပ်ထွေးစေပြီး အကိုင်းအခက်ခန့်မှန်းကြားခံကို ပိုမိုတက်ကြွစွာ သန့်ရှင်းရေးလုပ်ရန် လိုအပ်ပါသည်။ kernel တွင် အပြည့်အဝကာကွယ်မှုထည့်ခြင်းသည် overhead ကို 209% တိုးလာရန် မျှော်လင့်ပါသည်။

source: opennet.ru