Hjem > Cyber ​​Nyheder > New Native Spectre v2 Exploit Raises Concerns for Linux Kernel Security
CYBER NEWS

Ny Native Spectre v2-udnyttelse giver anledning til bekymring for Linux-kernesikkerhed

Cybersikkerhedsforskere fra Systems and Network Security Group (VUSec) på Vrije Universiteit Amsterdam har løftet sløret for, hvad de beskriver som “første native Spectre v2 udnyttelse” mod Linux-kernen på Intel-systemer. Dette udnytter, navngivet Native Branch History Injection (BHI), udgør en alvorlig trussel ved potentielt at tillade angribere at læse følsomme data fra systemhukommelsen.

Ny Native Spectre v2-udnyttelse giver anledning til bekymring for Linux-kernesikkerhed

Den indfødte BHI-udnyttelse forklaret

VUSec-forskerne detaljerede i en nylig undersøgelse, at Native BHI-udnyttelsen kan lække vilkårlig kernehukommelse med en hastighed på 3.5 kB/sek, effektivt omgå eksisterende Spectre v2/BHI afbødninger. Denne sårbarhed, spores som CVE-2024-2201, er blevet identificeret til at påvirke alle Intel-systemer, der er modtagelige for BHI.

Udnyttelsen blev oprindeligt afsløret af VUSec i marts 2022, fremhæver en teknik, der kan omgå Spectre v2-beskyttelse på moderne processorer fra Intel, AMD, og Arm. Mens angrebet oprindeligt udnyttede udvidede Berkeley-pakkefiltre (eBPF'er), Intels svar inkluderede anbefalinger om at deaktivere Linuxs uprivilegerede eBPF'er som en modforanstaltning.

Intels udmelding afslørede risikoen ved uprivilegerede eBPF'er, oplyser, at de “øge risikoen for forbigående henrettelsesangreb markant, selv når forsvar mod intra-mode [Branch Target Injection] er til stede.” På trods af anbefalinger om at deaktivere uprivilegerede eBPF'er, Native BHI har vist, at denne modforanstaltning er ineffektiv uden eBPF.




Hvorfor nuværende afhjælpningsstrategier ikke virker

Som skitseret af CERT Coordination Center (CERT/CC), nuværende strategier som deaktivering af privilegeret eBPF og aktivering (Bøde)IBT er utilstrækkelige til at forhindre BHI-angreb på kernen og hypervisoren. Denne sårbarhed gør det muligt for uautoriserede angribere med CPU-adgang at manipulere spekulative eksekveringsstier gennem skadelig software, med det formål at udtrække følsomme data knyttet til forskellige processer.

Virkningen af Native BHI-udnyttelsen strækker sig til forskellige platforme, inklusive Illumos, Intel, Red Hat, SUSE Linux, Triton Datacenter, og Xen. Mens AMD har erkendt problemet, det har erklæret, at det i øjeblikket ikke er bekendt med nogen indvirkning på dets produkter.

Denne afsløring følger nyere forskning fra ETH Zürich, som afslørede en familie af angreb kendt som Ahoi Attacks rettet mod hardware-baserede betroede eksekveringsmiljøer (TEE'er). Disse angreb, herunder Heckler og WeSee, bruge ondsindede afbrydelser til at kompromittere integriteten af fortrolige virtuelle maskiner (CVM'er) som AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) og Intel Trust Domain Extensions (TDX).

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig