英特尔和ARM为修复名为Spectre基于硬件的缓解措施并没有人们想象的那么强大。研究人员设计了一种新的攻击方法来击败防御系统,但并不像以前那么容易。
网络安全机构VU Amsterdam(VUSec)研究人员发现的新攻击称为Spectre-BHI(注入分支历史),英特尔公司和ARM该公司为其指定了不同的名称。研究团队声称是2017年Spectre v2它的名字是攻击的扩展Spectre-BTI(注入分支目标)Spectrev v2类似地,敏感信息可能会从特权核心内存空间泄露。
VUSec非特权账户从/etc/shadow泄露在文件中root密码的哈希值。etc/shadow文件是Linux只有系统文件root只有管理帐户才能访问。本质上,这个漏洞迫使内核将文件加载到内存中,通常保护其免受非特权过程的访问,但随后使用Spectre-BHI攻击访问和泄露其内容。这是现代操作系统基本安全边界的重大安全突破,现代操作系统将用户模式应用程序和内存空间与特权核心内存空间分离。
什么是幽灵(Spectre)?
Spectre它起源于现代CPU性能相关特性称为推测执行,CPU试图提前预测到达条件分支时将使用哪条路径,并在路径上执行指令。如果基于内部算法的预测结果很差,则存储在临时CPU缓存的结果将被丢弃。Spectre推测性执行攻击和随后的许多其他攻击会欺骗这种机制,从作为侧通道的临时缓存中泄露信息。
VUSec研究人员解释说:在发现中Spectre在使用分支目标注入时,可以很容易地使用(BTI或Spectre-v2),这是跨越特权级别最危险的。Spectre变体。例如,非特权用户态攻击者可以将任何分支目标从用户态提供给间接分支预测器,并欺骗内核推测性地跳转到注入的目标代码位置,并执行在那里找到的代码。”
谷歌等软件供应商为了降低风险Linux内核开发人员提出了基于软件的解决方案,如retpoline。虽然这些措施非常有效,但它们对性能有很大的影响CPU供应商后来开发了基于硬件的防御措施,英特尔公司名称为EIBRS,ARM公司名称为CSV2。
VUSec研究人员解释说:这些解决方案很复杂,但关键是预测器‘以某种方式’跟踪执行目标的特权级别(用户/内核)。正如人们所料,如果目标属于较低的特权级别,则不会使用内核执行(即网络攻击者提供的任何代码位置都不再被推测劫持内核控制流)
然而,问题在于CPU根据整体历史,预测器选择目标条目进行推测性执行,就像VUSec研究人员证明,整个历史可能会被破坏。换句话说,尽管最初的Spectre v2允许网络攻击者实际注入目标代码位置,然后欺骗核心执行代码,但新的Spectre-BHI/ Spectre-BHB攻击只能迫使内核错误预测,并执行历史上已经存在的有趣的代码小工具或片段,但这可能会泄露数据。
研究人员说:英特尔eIBRS和Arm CS V2是否损坏?换句话说,缓解措施是按预期工作的,但残留的攻击面比供应商最初假设的要重要得多。然而,由于网络攻击者不能直接跨权限注入预测器目标,因此更难找到可用的小工具。
缓解新的Spectre-BHI漏洞
英特尔将是新的Spectre-BHI漏洞跟踪为CVE-2022-0001,跨权限变体,CVE-2022-0002用于同一权限变体。对于这两种变体,ARM将其跟踪为CVE-2022-23960。
英特尔声称,该公司的大部分公司CPU除了Atom系列中的CPU。对于ARM,易受攻击的CPU型号是Cortex-A15、Cortex-A57、Cortex-A72、Cortex-A73、Cortex-A75、Cortex-A76、Cortex-A76AE、Cortex-A77、Cortex-A78、Cortex-A78AE、Cortex-A78C、Cortex-X1、Cortex-X2、Cortex-A710、NeoverseN1、NeoverseN2和NeoverseV1。
两家公司都表示将提供软件缓解措施。ARM根据系统,公司有五种不同的缓解措施。
对于他们的Linux漏洞利用,VUSec滥用研究人员eBPF,这是一种自内核4.4沙箱程序可以在操作系统的核心中运行。研究人员说,尽管eBPF不是潜在问题的一部分,可以发现其他代码小工具泄露数据,但非特权eBPF它的存在确实极大地促进了推测执行(和其他)攻击。这就是为什么这两家公司建议禁止它,以及一些Linux默认禁用发行版。