Tavis Ormandy, en sÀkerhetsforskare pÄ Google, har identifierat en ny sÄrbarhet (CVE-2023-23583) i Intel-processorer, kodnamnet Reptar, som frÀmst utgör ett hot mot molnsystem som kör virtuella maskiner frÄn olika anvÀndare. SÄrbarheten gör att systemet hÀnger sig eller kraschar nÀr vissa operationer utförs pÄ oprivilegierade gÀstsystem. För att testa dina system har ett verktyg publicerats som skapar förutsÀttningar för manifestation av sÄrbarheter.
Teoretiskt sett kan sÄrbarheten anvÀndas för att eskalera privilegier frÄn tredje till nollskyddsringen (CPL0) och fly frÄn isolerade miljöer, men detta scenario har Ànnu inte bekrÀftats i praktiken pÄ grund av svÄrigheterna med att felsöka pÄ mikroarkitektonisk nivÄ. En intern granskning hos Intel visade ocksÄ potentialen för utnyttjande av sÄrbarheten för att eskalera privilegier under vissa förhÄllanden.
Enligt forskaren finns sÄrbarheten i processorfamiljerna Intel Ice Lake, Rocket Lake, Tiger Lake, Raptor Lake, Alder Lake och Sapphire Rapids. Intel-rapporten nÀmner att problemet uppstÄr frÄn den 10:e generationen (Ice Lake) av Intel Core-processorer och den tredje generationen av Xeon Scalable-processorer, sÄvÀl som i Xeon E/D/W-processorer (Ice Lake, Skylake, Haswell, Broadwell , Skylake, Sapphire Rapids, Emerald Rapids, Cascade Lake, Cooper Lake, Comet Lake, Rocket Lake) och Atom (Apollo Lake, Jasper Lake, Arizona Beach, Alder Lake, Parker Ridge, Snow Ridge, Elkhart Lake och Denverton). SÄrbarheten i frÄga ÄtgÀrdades i gÄrdagens mikrokoduppdatering 20231114.
SÄrbarheten orsakas av det faktum att exekveringen av "REP MOVSB"-instruktionen under vissa mikroarkitektoniska omstÀndigheter kodas med ett överdrivet "REX"-prefix, vilket leder till odefinierat beteende. Problemet upptÀcktes under testning av redundanta prefix, vilket i teorin bör ignoreras, men ledde i praktiken till konstiga effekter, som att ignorera ovillkorliga grenar och bryta pekarens sparande i xsave- och anropsinstruktionerna. Ytterligare analys visade att lÀgga till ett redundant prefix till "REP MOVSB"-instruktionen orsakar korruption av innehÄllet i ROB-bufferten (ReOrder Buffer) som anvÀnds för att bestÀlla instruktioner.
Det antas att felet orsakas av en felaktig berĂ€kning av storleken pĂ„ "MOVSB" -instruktionen, vilket leder till brott mot adresseringen av instruktioner skrivna till ROB-bufferten efter MOVSB ââmed ett överdrivet prefix och offset av instruktionspekaren. SĂ„dan desynkronisering kan begrĂ€nsas till störningar av mellanliggande berĂ€kningar med efterföljande Ă„terstĂ€llande av integraltillstĂ„ndet. Men om du kraschar flera kĂ€rnor eller SMT-trĂ„dar samtidigt, kan du skada det mikroarkitektoniska tillstĂ„ndet tillrĂ€ckligt för att krascha.
KĂ€lla: opennet.ru
