Ricercatori di sicurezza informatica del Systems and Network Security Group (VUSec) alla Vrije Universiteit Amsterdam hanno svelato quello che descrivono come il “primo exploit nativo di Spectre v2” contro il kernel Linux sui sistemi Intel. Questo exploit, denominato Native Branch History Injection (BHI), rappresenta una seria minaccia consentendo potenzialmente agli aggressori di leggere dati sensibili dalla memoria di sistema.
Spiegazione dell'exploit nativo del BHI
I ricercatori VUSec hanno spiegato in un recente studio che l'exploit Native BHI può far perdere memoria arbitraria del kernel a una velocità di 3.5 kB/sec, bypassando efficacemente lo Spectre v2/BHI esistente mitigazioni. Questa vulnerabilità, tracciato come CVE-2024-2201, è stato identificato che ha un impatto su tutti i sistemi Intel sensibili al BHI.
L'exploit è stato inizialmente rivelato da VUSec a marzo 2022, evidenziando una tecnica che può aggirare le protezioni Spectre v2 sui moderni processori Intel, AMD, e Braccio. Mentre l'attacco originariamente sfruttava i filtri dei pacchetti Berkeley estesi (eBPF), La risposta di Intel includeva raccomandazioni per disabilitare gli eBPF non privilegiati di Linux come contromisura.
Quello dell'Intel dichiarazione ha rivelato il rischio rappresentato dagli eBPF non privilegiati, affermando che loro “aumentare significativamente il rischio di attacchi con esecuzione transitoria, anche quando le difese contro la modalità intra [Iniezione target ramificata] sono presenti.” Nonostante le raccomandazioni per disabilitare gli eBPF non privilegiati, Il BHI nativo ha dimostrato che questa contromisura è inefficace senza eBPF.
Perché le attuali strategie di mitigazione non funzionano
Come delineato dal Centro di Coordinamento CERT (CERT/CC), strategie attuali come la disattivazione dell'eBPF privilegiato e l'attivazione (Bene)Gli IBT sono inadeguati nel contrastare gli attacchi BHI al kernel e all'hypervisor. Questa vulnerabilità consente agli aggressori non autorizzati con accesso alla CPU di manipolare percorsi di esecuzione speculativi attraverso software dannoso, con l’obiettivo di estrarre dati sensibili collegati a diversi processi.
L'impatto dell'exploit Native BHI si estende a varie piattaforme, compreso Illumos, Intel, Red Hat, SUSE Linux, Centro dati Triton, e Xen. Mentre AMD ha riconosciuto il problema, ha dichiarato di non essere attualmente a conoscenza di alcun impatto sui suoi prodotti.
Questa divulgazione fa seguito a una recente ricerca dell’ETH di Zurigo, che ha rivelato una famiglia di attacchi noti come Ahoi Attacks rivolti ad ambienti di esecuzione attendibili basati su hardware (TEE). Questi attacchi, inclusi Heckler e WeSee, utilizzare interruzioni dannose per compromettere l'integrità delle macchine virtuali riservate (CVM) come AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) ed estensioni di dominio Intel Trust (TDX).
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: