のグループ アムステルダム自由大学の研究者が明らかにした ブログ投稿を介してと呼ばれるツール 「キャスパー」 それが コードスニペットを識別するように設計されています 悪用に使用できるLinuxカーネル内 スペクタークラスの脆弱性 プロセッサによる投機的なコード実行が原因です。
この種の攻撃に気付いていない人は、次のことを知っておく必要があります。 Spectre v1などのクラスの脆弱性により、メモリの内容を特定できます、特権コードには特定のスクリプト(ガジェット)が必要であり、命令の投機的実行につながります。
最適化するには、 プロセッサは、投機的モードでそのようなデバイスの実行を開始しますまたは、分岐予測が正当化されていないと判断し、操作を元の状態にロールバックしますが、投機的実行中に処理されたデータはキャッシュとマイクロアーキテクチャバッファに格納され、さまざまな残差データ決定方法を使用して抽出できます。パーティーチャンネル。
ガジェットスキャンツール パターンに基づく 以前に利用可能 Spectrの脆弱性eは、非常に高い割合の誤検知を示しました。 多くの実際のガジェットが失われました(実験では、そのようなツールによって検出されたガジェットの99%が攻撃に使用できず、動作しているガジェットの33%が攻撃につながる可能性のあるデバイスであることが観察されませんでした)。
一時的な(または投機的な)実行デバイススキャナーであるKasperの紹介。 破損分析ポリシーを使用して、一時的なパスで任意のソフトウェア/ハードウェアの脆弱性を悪用できる攻撃者をモデル化します。
キャスパーについて
品質を向上させるために 問題のあるデバイスの識別の Kasperは、攻撃者が使用できる脆弱性をモデル化します Spectreクラスの攻撃の各ステップで:問題は、LVIクラスの攻撃を使用してデータ制御(たとえば、攻撃者のデータをマイクロアーキテクチャ構造に置き換えて、その後の投機的実行に影響を与える)を可能にし、機密情報にアクセスできるようにモデル化されます(たとえば、バッファが範囲外であるか、解放された後にメモリが使用され、機密情報が漏洩します(たとえば、プロセッサキャッシュの状態を解析するか、MDSメソッドを使用します)。
データを制御し(たとえば、メモリマッサージまたはLVI値の挿入を介して)、シークレットにアクセスし(たとえば、範囲外のアクセスまたは解放後の使用を介して)、これらのシークレットをリークする(たとえば、キャッシュベースのMDSを介して)ことができる攻撃者をモデル化します。ベース、またはポート競合ベースの秘密チャネル)。
テストを実行するとき、 カーネルはランタイムライブラリに接続します Kasper そして、それらがLLVMレベルで機能することを確認します。 検証中、投機的コードの実行はチェックポイント復元メカニズムによってエミュレートされます。チェックポイント復元メカニズムは、誤って予測されたコードフォークを具体的に実行し、その後、フォークが開始される前の元の状態に戻ります。
Kasperは、さまざまなソフトウェアおよびハードウェアの脆弱性のモデル化も試みています、アーキテクチャおよびマイクロアーキテクチャの影響の影響を分析し、攻撃者の行動の可能性についてファジングテストを実行します。 実行フローの分析には、Linuxカーネル用のDataFlowSanitizerポートが使用され、ファジングテストには、syzkallerパッケージの修正バージョンが使用されます。
その結果、Kasperは、高度に強化されたLinuxカーネルでこれまで知られていなかった1.379台のデバイスを発見しました。 見つかったデバイスのXNUMXつについて、エンドツーエンドの概念実証エクスプロイトを実証することで、調査結果を確認しました。
LinuxカーネルをKasperでスキャンしているときに、これまで知られていなかった1379台のデバイスが特定されました。これにより、命令の投機的実行中にデータが漏洩する可能性があります。
おそらくそれらの一部だけが実際の問題を提示できることに注意してください。しかし、理論上の危険だけでなく、実際の危険があることを示すために、問題のあるコードスニペットのXNUMXつに対してエクスプロイトの実用的なプロトタイプが開発され、カーネルメモリ情報の漏洩。
最後に あなたがそれについてもっと知りたいなら Kasperについて、あなたはそれを知っているべきです ソースコード Apache2.0ライセンスの下で配布されます。