Kaliforniya Üniversitesi’nden araştırmacılar, özellikle Raptor Lake ve Alder Lake nesillerindeki üst düzey Intel CPU’ların Dolaylı Dal Tahmincisi (IBP) ve Dal Hedefi Tamponu’ndaki (BTB) güvenlik açıklarını istismar eden “Dolaylı” adı verilen yeni bir yüksek hassasiyetli Dal Hedefi Enjeksiyonu (BTI) saldırısını açıkladı.
Güvenlik araştırmacıları Luyi Li, Hosein Yavarzadeh ve Dean Tullsen saldırıya Indirector adını verdi. Bu saldırı, mevcut savunmaları aşmak ve CPU güvenliğini tehlikeye atmak için Indirect Branch Predictor (IBP) ve Branch Target Buffer’daki (BTB) zayıflıkları istismar ediyor.
Dolaylı Dal Tahmincisi’nin (IBP) Açıklanması
Dolaylı Dal Tahmincisi (IBP), hedef adresi çalışma zamanında hesaplanan kontrol akışı talimatları olan dolaylı dalların hedef adreslerini tahmin etmek üzere tasarlanmış modern CPU’larda bulunan kritik bir donanım bileşenidir.
Bu, onları doğru bir şekilde tahmin etmeyi özellikle zorlaştırır. IBP, bu tahminleri yapmak için küresel geçmiş ve şube adresinin bir kombinasyonunu kullanır.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Araştırmacılar, IBP’yi tersine mühendislik yoluyla ele alarak boyutunu, yapısını ve tahmin mekanizmalarını kapsamlı bir şekilde analiz ettiler ve mevcut savunmaları aşabilecek ve CPU güvenliğini tehlikeye atabilecek yeni saldırı vektörlerini ortaya çıkardılar.
Araştırmacılar, modern Intel CPU’larındaki IBP’nin üç tablodan oluşan bir yapıya sahip olduğunu buldular. Her tablo 2 yönlü bir küme ilişkiseldir ve farklı küresel geçmiş uzunluklarıyla indekslenmiştir.
Bu tablolar, genel geçmişe ve dallanma talimatı adresine dayalı olarak dizini ve etiketi hesaplamak için bir karma işlevi kullanır.
Hassas BTI saldırıları başlatmak için kritik öneme sahip olan kesin endeks ve etiket karma işlevleri belirlendi ve bu sayede saldırganların dolaylı dalların tahminini manipüle ederek programın kontrol akışını kötü niyetli hedef adrese yönlendirmesine olanak sağlandı.
Yüksek Hassasiyetli Şube Hedef Enjeksiyon Saldırıları
Dolaylı saldırı, IBP içindeki herhangi bir dolaylı dalı, önceden geçmiş bilgisi olmadan etkili bir şekilde bulan iBranch Locator adlı özel bir araçtan yararlanır.
Bu araç, konumlandırma sürecini iki adıma böler: kurbanın dolaylı dalının bulunduğu IBP setini belirleme ve etiket takma adını arama.
iBranch Bulucu, etiket takma adının aranmasını basitleştirerek, önceki yöntemlere kıyasla kurban IBP girişlerini bulmak için gereken çabayı önemli ölçüde azaltır.
Bu araç kullanılarak iki tip yüksek hassasiyetli enjeksiyon saldırısı gerçekleştirilebilir:
- IBP Enjeksiyon Saldırısı: Saldırgan, iBranch Locator’ı kullanarak kurban girişlerini bulur ve IBP’ye keyfi bir hedef adresi enjekte eder.
- BTB Enjeksiyon Saldırısı: Saldırgan, kurbanı IBP’den çıkarır ve kurbanın BTB girişine kötü amaçlı hedefler enjekte ederek, BTB tahmini yoluyla kurbanı yanıltır.
Dolaylı saldırıların oluşturduğu riskleri azaltmak için araştırmacılar aşağıdaki karşı önlemleri öneriyor:
- IBPB’nin Saldırgan Kullanımı: Dolaylı Dal Tahmin Bariyeri (IBPB) daha agresif bir şekilde kullanılmalıdır. Şu anda Linux, farklı kullanıcılar arasındaki bağlam geçişleri sırasında IBPB’yi etkinleştirir, ancak kullanımı önemli performans yükleri nedeniyle sınırlıdır.
- Güvenli BPU Tasarımı: Intel, farklı SMT çekirdeklerinden ve ayrıcalık seviyelerinden dolaylı dallar arasında takma adlandırmayı önlemek için yakın zamandaki IBP tasarımlarına Core-ID ve Ayrıcalık Seviyesi gibi yeni alanlar entegre etti. Ancak, güvenlik alanları arasında daha ayrıntılı izolasyon sağlamak için gelecekteki tasarımlar için daha karmaşık etiketler düşünülmelidir.
Intel, bu bulgulardan Şubat 2024’te haberdar edildi ve o zamandan beri sorunları etkilenen diğer donanım ve yazılım satıcılarına iletti. Indirector saldırısının tüm ayrıntıları, Ağustos 2024’te yapılacak olan USENIX Güvenlik Sempozyumu’nda sunulacak.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files