Група истраживача са Врије Университеит Амстердам идентификовала је нову рањивост у микроархитектонским структурама Интел и АРМ процесора, што је проширена верзија Спецтре-в2 рањивости, која омогућава да се заобиђу еИБРС и ЦСВ2 заштитни механизми додати процесорима. . Рањивост је добила неколико имена: БХИ (Бранцх Хистори Ињецтион, ЦВЕ-2022-0001), БХБ (Бранцх Хистори Буффер, ЦВЕ-2022-0002) и Спецтре-БХБ (ЦВЕ-2022-23960), која описују различите манифестације исти проблем (БХИ - напад који утиче на различите нивое привилегија, на пример, кориснички процес и кернел, БХБ - напад на исти ниво привилегија, на пример, еБПФ ЈИТ и кернел).
Истраживачи су демонстрирали радну експлоатацију која омогућава да се произвољни подаци извлаче из меморије кернела из корисничког простора. На пример, приказано је како је, коришћењем припремљеног екплоит-а, могуће издвојити из бафера кернела стринг са хешом лозинке роот корисника учитаног из датотеке /етц/схадов. Експлоатација показује могућност искоришћавања рањивости у оквиру једног нивоа привилегија (напад од језгра до језгра) коришћењем еБПФ програма који учитава корисник. Такође је могуће користити уместо еБПФ-а постојеће Спецтре гаџете у коду кернела, секвенце команди које доводе до спекулативног извршавања инструкција.
Рањивост се појављује у већини актуелних Интел процесора, са изузетком процесора из породице Атом. Међу АРМ процесорима, проблемом су погођени Цортек-А15, Цортек-А57, Цортек-А7*, Цортек-Кс1, Цортек-Кс2, Цортек-А710, Неоверсе Н1, Неоверсе Н2, Неоверсе В1 и можда неки Цортек-Р чипови. Према истраживању, рањивост се не појављује у АМД процесорима. Да би се елиминисао проблем, предложено је неколико софтверских метода за блокирање рањивости, које се могу користити пре појаве хардверске заштите у будућим моделима процесора.
Да би се блокирали напади путем eBPF подсистема, препоручује се да се онемогући могућност непривилегованим корисницима да подразумевано учитавају eBPF програме уписивањем вредности 1 у датотеку „/proc/sys/kernel/unprivileged_bpf_disabled“ или покретањем команде „sysctl -w kernel.unprivileged_bpf_disabled=1“. Да би се блокирали напади путем гаџета, препоручује се коришћење инструкције LFENCE у деловима кода који потенцијално доводе до спекулативног извршавања. Важно је напоменути да је подразумевана конфигурација већине дистрибуција Linux Неопходне безбедносне мере су већ на снази, довољне да блокирају eBPF напад који су демонстрирали истраживачи. Интелове препоруке за онемогућавање непривилегованог приступа eBPF-у се такође примењују подразумевано, почевши од језгра. Linux 5.16 и биће враћена на раније гране.
Концептуално, БХИ је проширена верзија Спецтре-в2 напада, у којој се, да би се заобишла додатна заштита (Интел еИБРС и Арм ЦСВ2) и организовало цурење података, замена вредности користи у Бранцх Хистори Буффер-у, који се користи у ЦПУ-у за повећање предвиђања тачност гранања узимајући у обзир историју прошлих транзиција. Током напада, манипулацијама са историјом прелаза, стварају се услови за нетачно предвиђање прелаза и спекулативно извршење потребних инструкција, чији резултат завршава у кешу.
Са изузетком коришћења бафера историје гране уместо бафера циљаних грана, нови напад је идентичан Спецтре-в2. Задатак нападача је да створи услове да се адреса, приликом обављања шпекулативне операције, узима из области дефинисаних података. Након извршења спекулативног индиректног скока, адреса скока прочитана из меморије остаје у кешу, након чега се може користити један од метода за одређивање садржаја кеша за његово преузимање на основу анализе промена у времену приступа кешираном и некешираном. података.
Извор: опеннет.ру
