Cybersikkerhedsforskere fra Systems and Network Security Group (VUSec) på Vrije Universiteit Amsterdam har løftet sløret for, hvad de beskriver som “første native Spectre v2 udnyttelse” mod Linux-kernen på Intel-systemer. Dette udnytter, navngivet Native Branch History Injection (BHI), udgør en alvorlig trussel ved potentielt at tillade angribere at læse følsomme data fra systemhukommelsen.
Den indfødte BHI-udnyttelse forklaret
VUSec-forskerne detaljerede i en nylig undersøgelse, at Native BHI-udnyttelsen kan lække vilkårlig kernehukommelse med en hastighed på 3.5 kB/sek, effektivt omgå eksisterende Spectre v2/BHI afbødninger. Denne sårbarhed, spores som CVE-2024-2201, er blevet identificeret til at påvirke alle Intel-systemer, der er modtagelige for BHI.
Udnyttelsen blev oprindeligt afsløret af VUSec i marts 2022, fremhæver en teknik, der kan omgå Spectre v2-beskyttelse på moderne processorer fra Intel, AMD, og Arm. Mens angrebet oprindeligt udnyttede udvidede Berkeley-pakkefiltre (eBPF'er), Intels svar inkluderede anbefalinger om at deaktivere Linuxs uprivilegerede eBPF'er som en modforanstaltning.
Intels udmelding afslørede risikoen ved uprivilegerede eBPF'er, oplyser, at de “øge risikoen for forbigående henrettelsesangreb markant, selv når forsvar mod intra-mode [Branch Target Injection] er til stede.” På trods af anbefalinger om at deaktivere uprivilegerede eBPF'er, Native BHI har vist, at denne modforanstaltning er ineffektiv uden eBPF.
Hvorfor nuværende afhjælpningsstrategier ikke virker
Som skitseret af CERT Coordination Center (CERT/CC), nuværende strategier som deaktivering af privilegeret eBPF og aktivering (Bøde)IBT er utilstrækkelige til at forhindre BHI-angreb på kernen og hypervisoren. Denne sårbarhed gør det muligt for uautoriserede angribere med CPU-adgang at manipulere spekulative eksekveringsstier gennem skadelig software, med det formål at udtrække følsomme data knyttet til forskellige processer.
Virkningen af Native BHI-udnyttelsen strækker sig til forskellige platforme, inklusive Illumos, Intel, Red Hat, SUSE Linux, Triton Datacenter, og Xen. Mens AMD har erkendt problemet, det har erklæret, at det i øjeblikket ikke er bekendt med nogen indvirkning på dets produkter.
Denne afsløring følger nyere forskning fra ETH Zürich, som afslørede en familie af angreb kendt som Ahoi Attacks rettet mod hardware-baserede betroede eksekveringsmiljøer (TEE'er). Disse angreb, herunder Heckler og WeSee, bruge ondsindede afbrydelser til at kompromittere integriteten af fortrolige virtuelle maskiner (CVM'er) som AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) og Intel Trust Domain Extensions (TDX).