Ειδικοί στην κυβερνοασφάλεια ανέδειξαν την ύπαρξη του πρώτου «native Spectre v2 exploit» εναντίον του Linux σε συστήματα της Intel, το οποίο θα μπορούσε να χρησιμοποιηθεί για την απόκτηση πρόσβασης σε ευαίσθητα δεδομένα που έχουν αποθηκευτεί στη μνήμη.
Το exploit, που ονομάζεται Native Branch History Injection (BHI), μπορεί να επιτευχθεί διαρροή αυθαίρετης μνήμης πυρήνα με ταχύτητα 3,5 kB/sec, παρακάμπτοντας τους υφιστάμενους μετριασμούς Spectre v2/BHI, είπαν ερευνητές από το Systems and Network Security Group (VUSec) στο Vrije Universiteit Amsterdam μια νέα μελέτη.
Η ευπάθεια αυτή καταχωρήθηκε ως CVE-2024-2201.
Δείτε επίσης: Ευπάθεια στην εφαρμογή Unjected αποκαλύπτει ευαίσθητα δεδομένα χρηστών
Το BHI αποκαλύφθηκε για πρώτη φορά από τη VUSec τον Μάρτιο του 2022, περιγράφοντάς το ως μια τεχνική που μπορεί να παρακάμψει τις προστασίες Spectre v2 σε σύγχρονους επεξεργαστές της Intel, AMD και Arm.
Η επίθεση χρησιμοποίησε εκτενώς τα φίλτρα πακέτων Berkeley (eBPF). Ως μέρος των συστάσεων της Intel για την αντιμετώπιση της κατάστασης, συμπεριλαμβάνεται η πρόταση για την απενεργοποίηση των μη προνομιούχων eBPF στο Linux.
“Οι χρόνοι εκτέλεσης που προσφέρουν τη δυνατότητα σε μη προνομιούχους χρήστες να δημιουργούν και να τρέχουν κώδικα σε ευαίσθητες περιοχές — όπως είναι το ‘μη προνομιούχο eBPF’ στο Linux — αυξάνουν τον κίνδυνο προσωρινών επιθέσεων εκτέλεσης. Αυτό ισχύει ακόμα και όταν υπάρχουν αμυντικά μέτρα κατά των επιθέσεων, όπως το Branch Target Injection”, είχε δηλώσει η Intel.
“Ο πυρήνας μπορεί να ρυθμιστεί ώστε να αποκλείει από προεπιλογή την πρόσβαση σε λειτουργίες eBPF χωρίς προνόμια, επιτρέποντας παράλληλα στους διαχειριστές να τις ενεργοποιήσουν κατά περίπτωση κατά τη διάρκεια εκτέλεσης, όταν αυτό κρίνεται απαραίτητο.”
Το Native BHI καταργεί αυτό το αντίμετρο, αποδεικνύοντας ότι το BHI είναι εφικτό χωρίς την ανάγκη για eBPF. Αυτό επηρεάζει όλα τα συστήματα της Intel που είναι ευάλωτα στο BHI.
Ως αποτέλεσμα, παρέχεται η δυνατότητα σε έναν χάκερ με πρόσβαση στους πόρους της CPU να διαταράξει τις κερδοσκοπικές διαδρομές εκτέλεσης μέσω της χρήσης κακόβουλου λογισμικού, το οποίο είναι εγκατεστημένο σε έναν υπολογιστή, με σκοπό να αποκαλυφθούν ευαίσθητες πληροφορίες.
«Οι υπάρχουσες τεχνικές μετριασμού για την απενεργοποίηση του προνομιούχου eBPF και την ενεργοποίηση του (Fine)IBT είναι ανεπαρκείς για να σταματήσουν την εκμετάλλευση του BHI έναντι του πυρήνα», δήλωσε το Κέντρο Συντονισμού CERT (CERT/CC).
“Ένας χάκερ χωρίς έλεγχο ταυτότητας μπορεί να εκμεταλλευτεί αυτήν την ευπάθεια για να διαρρεύσει προνομιακή μνήμη από την CPU κάνοντας κερδοσκοπικές μεταβάσεις σε ένα επιλεγμένο gadget.”
Η ευπάθεια αυτή έχει επιβεβαιωθεί, ότι επηρεάζει τις Illumos, Intel, Red Hat, SUSE Linux, Triton Data Center και Xen. Η AMD είχε δηλώσει ότι έχει επίγνωση τυχόν επιπτώσεων στα προϊόντα της.
Η αποκάλυψη του GhostRace (CVE-2024-2193) από την IBM και τη VUSec, μια νέα παραλλαγή του Spectre v1, έρχεται εβδομάδες μετά την ανακοίνωσή τους.Αυτή η ευπάθεια αξιοποιεί έναν συνδυασμό κερδοσκοπικών εκτελεστικών συνθηκών και συνθηκών ανταγωνισμού, για να εξάγει δεδομένα από σύγχρονες CPU.
Διαβάστε επίσης: Hackers εκμεταλλεύονται ευπάθεια στο Magento και εισάγουν backdoor σε sites
Πρόσφατη έρευνα από το ETH Zurich αποκάλυψε μια νέα οικογένεια επιθέσεων, τις λεγόμενες Ahoi Attacks. Αυτές οι επιθέσεις έχουν τη δυνατότητα να παραβιάσουν ασφαλή περιβάλλοντα εκτέλεσης που υποστηρίζονται από hardware (TEE), καθώς και να παραβιάσουν εμπιστευτικές εικονικές μηχανές (CVM) όπως το AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) και τα Intel Trust Domain Extensions (TDX).
Οι επιθέσεις με τις ονομασίες Heckler και WeSee χρησιμοποιούν κακόβουλες τεχνικές διακοπών για να διαταράξουν την ακεραιότητα των CVM, δίνοντας έτσι τη δυνατότητα σε απειλητικούς παράγοντες να πραγματοποιήσουν εξ αποστάσεως συνδέσεις και να αποκτήσουν εκτεταμένη πρόσβαση. Επιπλέον, τους επιτρέπεται να πραγματοποιούν αυθαίρετες ενέργειες ανάγνωσης, εγγραφής και ενσωμάτωσης κώδικα με σκοπό την απενεργοποίηση κανόνων προστασίας και το άνοιγμα ενός root shell.
Στην επίθεση Ahoi Attacks, οι ερευνητές ανέφεραν ότι ένας χάκερ έχει τη δυνατότητα να χρησιμοποιήσει τον hypervisor για να προβεί σε κακόβουλες διακοπές στις εικονικές κεντρικές μονάδες επεξεργασίας (vCPU) ενός θύματος, παραπλανώντας το σύστημα ώστε να εκτελέσει εσφαλμένες εντολές. Αυτές οι εντολές μπορούν να προκαλέσουν σημαντικές αλλαγές, όπως την τροποποίηση της κατάστασης του μητρώου σε μια εφαρμογή, δίνοντας τη δυνατότητα στον χάκερ να θέσει σε κίνδυνο το CVM του θύματος.
Δείτε ακόμη: WP-Members Membership: Ευπάθεια θέτει σε κίνδυνο WordPress sites
Ως απάντηση στα πρόσφατα ευρήματα, η AMD δήλωσε ότι η νέα ευπάθεια προέρχεται από την υλοποίηση του SEV-SNP στον πυρήνα του Linux. Επιπλέον, ανέφερε ότι έχουν ήδη εφαρμοστεί διορθώσεις για να αντιμετωπίσουν μερικά από τα εν λόγω ζητήματα στην κύρια έκδοση του πυρήνα του Linux.
Πηγή: thehackernews
