Chercheurs en cybersécurité du Groupe Sécurité des Systèmes et Réseaux (VUSec) à la Vrije Universiteit Amsterdam ont dévoilé ce qu'ils décrivent comme le “premier exploit natif de Spectre v2” contre le noyau Linux sur les systèmes Intel. cet exploit, nommé Injection d'historique de branche native (BHI), constitue une menace sérieuse en permettant potentiellement aux attaquants de lire des données sensibles de la mémoire système.
L’exploit natif BHI expliqué
Les chercheurs de VUSec ont détaillé dans une étude récente que l'exploit Native BHI peut entraîner une fuite de mémoire arbitraire du noyau à un taux de 3.5 Ko/sec, contournant efficacement le Spectre v2/BHI existant atténuations. Cette vulnérabilité, suivi comme CVE-2024-2201, a été identifié comme ayant un impact sur tous les systèmes Intel sensibles au BHI.
L'exploit a été initialement divulgué par VUSec en mars 2022, mettant en évidence une technique qui peut contourner les protections Spectre v2 sur les processeurs modernes d'Intel, AMD, et bras. Alors que l'attaque exploitait à l'origine les filtres de paquets Berkeley étendus (eBPF), La réponse d'Intel comprenait des recommandations visant à désactiver les eBPF non privilégiés de Linux comme contre-mesure..
Intel déclaration a révélé le risque posé par les eBPF non privilégiés, déclarant qu'ils “augmenter considérablement le risque d’attaques d’exécution transitoire, même lorsque les défenses contre l'intra-mode [Injection de cible de branche] sont présents.” Malgré les recommandations de désactiver les eBPF non privilégiés, Native BHI a démontré que cette contre-mesure est inefficace sans eBPF.
Pourquoi les stratégies d'atténuation actuelles ne fonctionnent pas
Comme indiqué par le Centre de Coordination du CERT (CERT/CC), stratégies actuelles comme la désactivation de l'eBPF privilégié et l'activation (Amende)Les IBT ne parviennent pas à contrecarrer les attaques BHI sur le noyau et l'hyperviseur. Cette vulnérabilité permet aux attaquants non autorisés disposant d'un accès au processeur de manipuler les chemins d'exécution spéculatifs via des logiciels malveillants., dans le but d’extraire des données sensibles liées à divers processus.
L'impact de l'exploit Native BHI s'étend à diverses plates-formes, y compris Illumos, Intel, Red Hat, SUSE Linux, Centre de données Triton, et Xen. Bien qu'AMD ait reconnu le problème, il a déclaré qu'il n'était actuellement pas conscient d'un quelconque impact sur ses produits.
Cette divulgation fait suite à une étude récente de l'ETH Zurich, qui a révélé une famille d'attaques connues sous le nom d'Ahoi Attacks ciblant les environnements d'exécution sécurisés basés sur le matériel. (TEE). Ces attaques, dont Heckler et WeSee, utiliser des interruptions malveillantes pour compromettre l'intégrité des machines virtuelles confidentielles (CVM) comme la pagination imbriquée sécurisée par virtualisation cryptée et sécurisée AMD (SEV-SNP) et extensions de domaine de confiance Intel (TDX).