Siber güvenlik araştırmacıları, Intel sistemlerindeki Linux çekirdeğine karşı, bellekten hassas verileri okumak için kullanılabilecek “ilk yerel Spectre v2 istismarı” olduğunu açıkladılar.
Vrije Universiteit Amsterdam’daki Sistemler ve Ağ Güvenliği Grubu’ndan (VUSec) araştırmacılar, Native Branch History Injection (BHI) adı verilen istismarın, mevcut Spectre v2/BHI hafifletmelerini atlayarak 3,5 kB/sn hızında rastgele çekirdek belleğini sızdırmak için kullanılabileceğini söyledi. yeni bir çalışma.
Eksiklik şu şekilde takip ediliyor: CVE-2024-2201.
BHI ilk olarak Mart 2022’de VUSec tarafından açıklandı ve bunun Intel, AMD ve Arm’ın modern işlemcilerindeki Spectre v2 korumalarını aşabilen bir teknik olduğu açıklandı.
Saldırı, genişletilmiş Berkeley Paket Filtrelerinden (eBPF’ler) yararlanırken, Intel’in sorunu çözmeye yönelik tavsiyesi, diğer şeylerin yanı sıra, Linux’un ayrıcalıksız eBPF’lerini devre dışı bırakmaktı.
“Ayrıcalıksız bir kullanıcının ayrıcalıklı bir etki alanında (Linux’un ‘ayrıcalıksız eBPF’si gibi) kod oluşturmasına ve yürütmesine izin verecek şekilde yapılandırılabilen ayrıcalıklı yönetilen çalışma zamanları, mod içi savunmalara karşı savunma yapıldığında bile geçici yürütme saldırıları riskini önemli ölçüde artırır. [Branch Target Injection] mevcut,” dedi Intel o sırada.
“Çekirdek, ayrıcalıksız eBPF’ye erişimi varsayılan olarak reddedecek ve aynı zamanda yöneticilerin gerektiğinde çalışma zamanında bunu etkinleştirmesine izin verecek şekilde yapılandırılabilir.”
Yerli BHI, eBPF olmadan BHI’nın mümkün olduğunu göstererek bu karşı önlemi etkisiz hale getirir. BHI’ya duyarlı tüm Intel sistemlerini etkiler.
Sonuç olarak, CPU kaynaklarına erişimi olan bir saldırganın, farklı bir süreçle ilişkili hassas verileri ayıklamak amacıyla bir makineye yüklenen kötü amaçlı yazılım aracılığıyla spekülatif yürütme yollarını etkilemesine olanak tanır.
CERT Koordinasyon Merkezi (CERT/CC) bir danışma belgesinde “Ayrıcalıklı eBPF’yi devre dışı bırakma ve (İnce)IBT’yi etkinleştirmeye yönelik mevcut azaltma teknikleri, çekirdeğe/hipervizöre karşı BHI istismarını durdurmada yetersizdir” dedi.
“Kimliği doğrulanmamış bir saldırgan, spekülatif olarak seçilen bir aygıta atlayarak CPU’daki ayrıcalıklı belleği sızdırmak için bu güvenlik açığından yararlanabilir.”
Kusurun Illumos, Intel, Red Hat, SUSE Linux, Triton Veri Merkezi ve Xen’i etkilediği doğrulandı. AMD bir bültende, ürünleri üzerindeki “her türlü etkinin farkında” olduğunu söyledi.
Açıklama, IBM ve VUSec’in, çağdaş CPU mimarilerinden veri sızdırmak için spekülatif yürütme ve yarış koşullarının bir kombinasyonunu kullanan Spectre v1’in bir çeşidi olan GhostRace’i (CVE-2024-2193) ayrıntılı olarak açıklamasından haftalar sonra geldi.
Bu aynı zamanda ETH Zürih’in, donanım tabanlı güvenilir yürütme ortamlarını (TEE’ler) tehlikeye atmak ve AMD Güvenli Şifreli Sanallaştırma-Güvenli İç İçe Sayfalama (CVM’ler) gibi gizli sanal makineleri (CVM’ler) kırmak için kullanılabilecek Ahoi Saldırıları adı verilen bir saldırı ailesini açığa çıkaran yeni araştırmasını da takip ediyor ( SEV-SNP) ve Intel Trust Etki Alanı Uzantıları (TDX).
Kod adı Heckler ve WeSee olan saldırılar, CVM’lerin bütünlüğünü bozmak için kötü niyetli kesintilerden yararlanıyor ve potansiyel olarak tehdit aktörlerinin uzaktan oturum açmasına ve yüksek erişim elde etmesine, ayrıca güvenlik duvarı kurallarını devre dışı bırakmak için rastgele okuma, yazma ve kod enjeksiyonu gerçekleştirmesine olanak tanıyor. bir kök kabuğu açın.
Araştırmacılar, “Ahoi Saldırılarında, bir saldırgan hipervizörü kullanarak kurbanın vCPU’larına kötü amaçlı kesintiler enjekte edebilir ve kesme işleyicilerini çalıştırması için onu kandırabilir” dedi. “Bu kesme işleyicileri, bir saldırganın kurbanın CVM’sini tehlikeye atmak için tetikleyebileceği küresel etkilere (örneğin, uygulamadaki kayıt durumunu değiştirme) sahip olabilir.”
Bulgulara yanıt olarak AMD, güvenlik açığının SEV-SNP’nin Linux çekirdeği uygulamasından kaynaklandığını ve bazı sorunlara yönelik düzeltmelerin ana Linux çekirdeğine aktarıldığını söyledi.