Uutiset äskettäin rikkoivat senETH Zürichin tutkijaryhmä on tunnistanut uuden hyökkäyksen suorittimen epäsuorien hyppyjen spekulatiiviseen suoritusmekanismiin, joka mahdollistaa tiedon poimimisen ytimen muistista tai hyökkäyksen järjestämisen isäntäjärjestelmää vastaan virtuaalikoneista.
Haavoittuvuuksien koodinimi oli Retbleed (jo luetteloitu nimikkeillä CVE-2022-29900, CVE-2022-29901) ja ovat luonteeltaan samanlaisia kuin Spectre-v2-hyökkäykset.
Ero tiivistyy mielivaltaisen koodin spekulatiivisen suorittamisen järjestämiseen käsittelemällä "ret" (return) -käskyä, joka hakee osoitteen pinosta hyppäämistä varten sen sijaan, että se hyppää epäsuorasti käyttämällä "jmp"-komentoa, lataa osoitteen muistista tai CPU-rekisteri.
Uudesta hyökkäyksestä mainitaan hyökkääjä voi luoda olosuhteet haarukan ennusteelle virheellinen ja järjestä tahallinen spekulatiivinen hyppy koodilohkoon, jota ohjelman suorituslogiikka ei ole tarkoitettu.
lopulta prosessori määrittää, että haaraennuste ei ollut perusteltu ja peruuttaa toiminnon alkuperäiseen tilaan, vaan käsitellyt tiedot Spekulatiivisen teloituksen aikana he istuvat kätkössä ja mikroarkkitehtuuripuskurit. Jos virheellisesti suoritettu lohko suorittaa muistin käytön, sen spekulatiivinen suoritus johtaa asennukseen yleiseen välimuistiin ja tietojen lukemiseen muistista.
Määrittääkseen välimuistiin jääneen tiedon spekulatiivisen toimintojen suorittamisen jälkeen hyökkääjä voi käyttää menetelmiä määrittääkseen jäännöstiedot kolmannen osapuolen kanavien kautta, esimerkiksi analysoimalla muutoksia välimuistissa olevien tietojen käyttöajassa eikä välimuistissa.
Tietojen tarkoitukselliseen poimimiseen eri käyttöoikeustason alueilta (esimerkiksi ytimen muistista) käytetään "laitteita": ytimessä olevia komentosarjoja, jotka soveltuvat tietojen spekulatiiviseen lukemiseen muistista, ulkoisista olosuhteista riippuen siihen voidaan vaikuttaa hyökkääjän toimesta.
Suojatakseen klassisilta Spectre-luokan hyökkäyksiltä, jotka käyttävät epäsuoria ja ehdollisia haarakäskyjä, useimmat käyttöjärjestelmät käyttävät "retpoline"-tekniikkaa, joka perustuu epäsuorien haaratoimintojen korvaamiseen "ret"-käskyllä, jota varten tarvitaan erillinen pinon tilaennuste. yksikköä käytetään prosessoreissa, ei käytä haaran ennustuslohkoa.
Kun retpoline otettiin käyttöön vuonna 2018, Spectre-tyyppisen osoitemanipuloinnin uskottiin olevan epäkäytännöllistä spekulatiivisessa haaroittamisessa "ret"-ohjeella.
Hyökkäysmenetelmän kehittäneet tutkijat Retbleed osoitti mahdollisuuden luoda mikroarkkitehtonisia olosuhteita käynnistämään spekulatiivisen siirtymän käyttämällä "ret"-käskyä ja julkaissut valmiin työkalupakin sopivien käskysekvenssien (gadgetien) tunnistamiseksi Linux-ytimen haavoittuvuuden hyödyntämiseksi, jossa tällaiset olosuhteet esiintyvät.
Tutkimuksen aikana mm. valmistettiin toimiva hyväksikäyttö joka mahdollistaa Intel-suorittimilla varustetuissa järjestelmissä käyttäjätilan etuoikeutettoman prosessin poimia mielivaltaisia tietoja ytimen muistista nopeudella 219 tavua sekunnissa ja 98 %:n tarkkuudella.
En prosessorit AMD, hyödyntämisen tehokkuus on paljon korkeampi, koska vuotonopeus on 3,9 kt sekunnissa. Käytännön esimerkkinä näytetään, kuinka ehdotettua hyväksikäyttöä käytetään määrittämään /etc/shadow-tiedoston sisältö. Intel-suorittimilla varustetuissa järjestelmissä hyökkäys pääsalasanahajautusjärjestelmän määrittämiseksi suoritettiin 28 minuutissa ja AMD-suorittimilla varustetuissa järjestelmissä 6 minuutissa.
Hyökkäys vahvistettiin 6-8 Intel-suorittimien sukupolvelle jotka julkaistiin ennen vuoden 2019 kolmatta neljännestä (mukaan lukien Skylake), sekä Zen 1-, Zen 1+- ja Zen 2 -mikroarkkitehtuureihin perustuvat AMD-prosessorit, jotka julkaistiin ennen vuoden 2021 toista neljännestä. Uudemmissa prosessorimalleissa, kuten AMD Zen3 ja Intel Alder Lake, sekä ARM-prosessorit, olemassa olevat suojamekanismit estävät ongelman. Esimerkiksi IBRS-ohjeiden (Indirect Branch Restricted Speculation) käyttö auttaa suojaamaan hyökkäyksiltä.
Valmisteli joukon muutoksia Linux-ytimeen ja Xen-hypervisoriin, jotka estävät ongelman ohjelmallisesti vanhemmissa suorittimissa. Ehdotettu Linux-ytimen korjaustiedosto muuttaa 68 tiedostoa, lisää 1783 riviä ja poistaa 387 riviä.
Valitettavasti suojauksesta aiheutuu huomattavia yleiskustannuksia: AMD- ja Intel-suorittimilla tehdyissä teksteissä suorituskyvyn heikkenemisen arvioidaan olevan 14–39 prosenttia. On parempi käyttää IBRS-ohjeisiin perustuvaa suojausta, joka on saatavilla uudemmissa Intel-suorittimissa ja jota tuetaan Linux-ytimen versiosta 4.19 lähtien.
Lopuksi, jos haluat tietää enemmän siitä, voit tutustua yksityiskohdat seuraavassa linkissä.