Cybersecurity-onderzoekers van de Systems and Network Security Group (VUSec) aan de Vrije Universiteit Amsterdam hebben onthuld wat zij omschrijven als de “eerste native Spectre v2-exploit” tegen de Linux-kernel op Intel-systemen. deze exploit, genaamd Native Branch History Injection (BHI), vormt een ernstige bedreiging omdat aanvallers mogelijk gevoelige gegevens uit het systeemgeheugen kunnen lezen.
De inheemse BHI-exploit uitgelegd
De VUSec-onderzoekers hebben in een recent onderzoek uiteengezet dat de Native BHI-exploit willekeurig kernelgeheugen kan lekken met een snelheid van 3.5 kB/sec, effectief omzeilen van bestaande Spectre v2/BHI verzachtingen. Deze kwetsbaarheid, bijgehouden als CVE-2024-2201, Er is vastgesteld dat het van invloed is op alle Intel-systemen die vatbaar zijn voor BHI.
De exploit werd in maart voor het eerst onthuld door VUSec 2022, waarbij een techniek wordt benadrukt die Spectre v2-beveiligingen op moderne processors van Intel kan omzeilen, AMD, en arm. Terwijl de aanval oorspronkelijk gebruik maakte van uitgebreide Berkeley Packet Filters (eBPF's), Het antwoord van Intel omvatte aanbevelingen om als tegenmaatregel de onbevoorrechte eBPF's van Linux uit te schakelen.
Intel's verklaring onthulde het risico van kansarme eBPF’s, waarin staat dat zij “verhogen het risico op tijdelijke executieaanvallen aanzienlijk, zelfs als er sprake is van verdediging tegen intra-modus [Branch Target Injectie] zijn aanwezig.” Ondanks aanbevelingen om onbevoegde eBPF's uit te schakelen, Native BHI heeft aangetoond dat deze tegenmaatregel niet effectief is zonder eBPF.
Waarom de huidige mitigatiestrategieën niet werken
Zoals uiteengezet door het CERT Coördinatiecentrum (CERT/CC), huidige strategieën zoals het deactiveren en activeren van bevoorrechte eBPF (Fijn)IBT is ontoereikend in het dwarsbomen van BHI-aanvallen op de kernel en de hypervisor. Deze kwetsbaarheid geeft ongeautoriseerde aanvallers CPU-toegang om speculatieve uitvoeringspaden te manipuleren via kwaadaardige software, met als doel gevoelige gegevens te extraheren die verband houden met diverse processen.
De impact van de Native BHI-exploit strekt zich uit tot verschillende platforms, inclusief Illumos, Intel, Red Hat, SUSE Linux, Triton-datacentrum, en Xen. Hoewel AMD het probleem heeft erkend, het heeft verklaard dat het momenteel niet op de hoogte is van enige impact op zijn producten.
Deze onthulling volgt op recent onderzoek van ETH Zürich, waaruit een reeks aanvallen bleek die bekend staan als Ahoi-aanvallen, gericht op op hardware gebaseerde vertrouwde uitvoeringsomgevingen (TEE's). Deze aanvallen, inclusief Heckler en WeSee, gebruik kwaadaardige interrupts om de integriteit van vertrouwelijke virtuele machines in gevaar te brengen (CVM's) zoals AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) en Intel Trust-domeinextensies (TDX).
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: