Pesquisadores de segurança cibernética do Grupo de Segurança de Sistemas e Redes (VUSec) da Vrije Universiteit Amsterdam revelaram o que descrevem como o “primeira exploração nativa do Spectre v2” contra o kernel Linux em sistemas Intel. este exploit, chamado Injeção de histórico de ramificação nativa (BHI), representa uma séria ameaça ao permitir que invasores leiam dados confidenciais da memória do sistema.
A exploração nativa do BHI explicada
Os pesquisadores do VUSec detalharam em um estudo recente que a exploração do Native BHI pode vazar memória arbitrária do kernel a uma taxa de 3.5 kB/s, ignorando efetivamente o Spectre v2/BHI existente mitigações. Esta vulnerabilidade, rastreado como CVE-2024-2201, foi identificado que afeta todos os sistemas Intel suscetíveis ao BHI.
A exploração foi divulgada inicialmente pela VUSec em março 2022, destacando uma técnica que pode contornar as proteções Spectre v2 em processadores modernos da Intel, AMD, e braço. Embora o ataque originalmente tenha aproveitado filtros de pacotes Berkeley estendidos (eBPFs), A resposta da Intel incluiu recomendações para desativar os eBPFs sem privilégios do Linux como contramedida.
da Intel declaração revelou o risco representado por eBPFs sem privilégios, afirmando que eles “aumentar significativamente o risco de ataques de execução transitórios, mesmo quando as defesas contra o modo intra- [Injeção de alvo de filial] estão presentes.” Apesar das recomendações para desabilitar eBPFs sem privilégios, Native BHI demonstrou que esta contramedida é ineficaz sem eBPF.
Por que as atuais estratégias de mitigação não funcionam
Conforme descrito pelo Centro de Coordenação CERT (CERT/CC), estratégias atuais como desativar eBPF privilegiado e ativar (Bem)IBT são inadequados para impedir ataques BHI no kernel e no hipervisor. Esta vulnerabilidade permite que invasores não autorizados com acesso à CPU manipulem caminhos de execução especulativos por meio de software malicioso, com o objetivo de extrair dados sensíveis vinculados a diversos processos.
O impacto da exploração do Native BHI se estende a várias plataformas, incluindo Illumos, Intel, chapéu vermelho, SUSE Linux, Centro de dados Triton, e Xen. Embora a AMD tenha reconhecido o problema, afirmou que não tem atualmente conhecimento de qualquer impacto nos seus produtos.
Esta divulgação segue pesquisa recente da ETH Zurich, que revelou uma família de ataques conhecidos como ataques Ahoi direcionados a ambientes de execução confiáveis baseados em hardware (ETEs). Esses ataques, incluindo Heckler e WeSee, utilizar interrupções maliciosas para comprometer a integridade de máquinas virtuais confidenciais (CVM) como AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) e extensões de domínio Intel Trust (TDX).
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: