Investigadores en ciberseguridad del Grupo de Seguridad de Sistemas y Redes (VUSec) de la Vrije Universiteit Amsterdam han desvelado lo que describen como el “primer exploit nativo de Spectre v2” contra el kernel de Linux en sistemas Intel. este exploit, llamado Inyección de Historia de Rama Nativa (BHI), representa una seria amenaza al permitir potencialmente a los atacantes leer datos confidenciales de la memoria del sistema.
Explicación del exploit nativo de BHI
Los investigadores de VUSec detallaron en un estudio reciente que el exploit Native BHI puede filtrar memoria del kernel arbitraria a un ritmo de 3.5 kB/seg, evitando efectivamente el Spectre v2/BHI existente mitigaciones. Esta vulnerabilidad, rastreado como CVE-2024-2201, Se ha identificado que afecta a todos los sistemas Intel susceptibles a BHI..
El exploit fue revelado inicialmente por VUSec en marzo. 2022, destacando una técnica que puede eludir las protecciones Spectre v2 en procesadores modernos de Intel, AMD, y brazo. Si bien el ataque originalmente aprovechó los filtros de paquetes Berkeley extendidos (eBPF), La respuesta de Intel incluyó recomendaciones para desactivar los eBPF sin privilegios de Linux como contramedida..
Intel declaración reveló el riesgo que representan los eBPF sin privilegios, afirmando que ellos “aumentar significativamente el riesgo de ataques de ejecución transitoria, incluso cuando las defensas contra el modo intramodo [Inyección de objetivo de rama] están presentes.” A pesar de las recomendaciones para desactivar los eBPF sin privilegios, Native BHI ha demostrado que esta contramedida es ineficaz sin eBPF.
Por qué las estrategias de mitigación actuales no funcionan
Según lo descrito por el Centro de Coordinación CERT (CERT/CC), estrategias actuales como desactivar eBPF privilegiado y activar (Multa)Los IBT son inadecuados para frustrar los ataques de BHI al kernel y al hipervisor.. Esta vulnerabilidad permite a atacantes no autorizados con acceso a la CPU manipular rutas de ejecución especulativas a través de software malicioso., con el objetivo de extraer datos sensibles vinculados a diversos procesos.
El impacto del exploit Native BHI se extiende a varias plataformas, incluyendo ilumos, Intel, Red Hat, SUSE Linux, Centro de datos Tritón, y xen. Si bien AMD ha reconocido el problema, ha declarado que actualmente no tiene conocimiento de ningún impacto en sus productos.
Esta divulgación sigue a una investigación reciente de ETH Zurich, que reveló una familia de ataques conocidos como ataques Ahoi dirigidos a entornos de ejecución confiables basados en hardware. (TEE). Estos ataques, incluidos Heckler y WeSee, utilizar interrupciones maliciosas para comprometer la integridad de máquinas virtuales confidenciales (CVM) como AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) y extensiones de dominio Intel Trust (TDX).