Cybersicherheitsforscher der Systems and Network Security Group (VUSec) an der Vrije Universiteit Amsterdam haben das vorgestellt, was sie als das “erster nativer Spectre v2 Exploit” gegen den Linux-Kernel auf Intel-Systemen. Bei diesem Exploit, benannte Native Branch History Injection (BHI), stellt eine ernsthafte Bedrohung dar, da Angreifer möglicherweise vertrauliche Daten aus dem Systemspeicher lesen können.
Der native BHI Exploit erklärt
Die VUSec-Forscher haben in einer aktuellen Studie detailliert beschrieben, dass der Native BHI-Exploit beliebigen Kernelspeicher mit einer Geschwindigkeit von 3.5 kB/Sek., effektive Umgehung bestehender Spectre v2/BHI Milderungen. Diese Schwachstelle, verfolgt als CVE-2024-2201, wurde festgestellt, dass alle Intel-Systeme betroffen sind, die anfällig für BHI sind.
Der Exploit wurde erstmals im März von VUSec offengelegt 2022, Hervorhebung einer Technik, mit der der Spectre v2-Schutz auf modernen Prozessoren von Intel umgangen werden kann, AMD, und Arm. Während der Angriff ursprünglich erweiterte Berkeley-Paketfilter nutzte (eBPFs), Intels Antwort enthielt Empfehlungen zur Deaktivierung der nicht privilegierten eBPFs von Linux als Gegenmaßnahme.
Intels Erklärung enthüllte das Risiko, das von nicht privilegierten eBPFs ausgeht, mit der Aussage, dass sie “das Risiko vorübergehender Ausführungsangriffe erheblich erhöhen, selbst wenn Abwehrmaßnahmen gegen Intra-Modus [Branch-Ziel-Injektion] sind anwesend.” Trotz Empfehlungen zur Deaktivierung nicht privilegierter eBPFs, Native BHI hat gezeigt, dass diese Gegenmaßnahme ohne eBPF unwirksam ist.
Warum aktuelle Minderungsstrategien nicht funktionieren
Wie vom CERT-Koordinationszentrum dargelegt (CERT/CC), Aktuelle Strategien wie die Deaktivierung privilegierter eBPF und die Aktivierung (Geldbuße)IBT sind unzureichend, um BHI-Angriffe auf den Kernel und Hypervisor abzuwehren. Diese Schwachstelle ermöglicht es nicht autorisierten Angreifern mit CPU-Zugriff, spekulative Ausführungspfade durch Schadsoftware zu manipulieren., mit dem Ziel, sensible Daten zu extrahieren, die mit verschiedenen Prozessen verknüpft sind.
Die Auswirkungen des Native BHI Exploits erstrecken sich auf verschiedene Plattformen, inklusive Illumos, Intel, Red Hat, SUSE Linux, Triton-Rechenzentrum, und Xen. Obwohl AMD das Problem anerkannt hat, Das Unternehmen hat erklärt, dass es derzeit keine Auswirkungen auf seine Produkte kennt.
Diese Offenlegung folgt auf aktuelle Forschungsergebnisse der ETH Zürich, Dies enthüllte eine Familie von Angriffen, bekannt als Ahoi-Angriffe, die auf hardwarebasierte vertrauenswürdige Ausführungsumgebungen abzielen (TEE). Diese Angriffe, einschließlich Heckler und WeSee, böswillige Interrupts nutzen, um die Integrität vertraulicher virtueller Maschinen zu kompromittieren (Lebensläufe) wie AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) und Intel Trust Domain Extensions (TDX).