Onderzoekers ontdekken eerste Native Spectre v2-exploit tegen Linux-kernel

Cybersecurity-onderzoekers hebben onthuld wat volgens hen de “eerste native Spectre v2-exploit” is tegen de Linux-kernel op Intel-systemen die zou kunnen worden uitgebuit om gevoelige gegevens uit het geheugen te lezen.

De exploit, genaamd Native Branch History Injection (BHI), kan worden gebruikt om willekeurig kernelgeheugen te lekken met een snelheid van 3,5 kB/sec door bestaande Spectre v2/BHI-maatregelen te omzeilen, zeggen onderzoekers van Systems and Network Security Group (VUSec) van de Vrije Universiteit Amsterdam in een nieuwe studie.

De tekortkoming wordt bijgehouden als CVE-2024-2201.

BHI werd voor het eerst onthuld door VUSec in maart 2022 en beschreef het als een techniek die Spectre v2-beveiligingen in moderne processors van Intel, AMD en Arm kan omzeilen.

Hoewel bij de aanval gebruik werd gemaakt van uitgebreide Berkeley Packet Filters (eBPF's), waren de aanbevelingen van Intel om het probleem aan te pakken onder meer het uitschakelen van de onbevoegde eBPF's van Linux.

Cyberbeveiliging

“Privileged managed runtimes die kunnen worden geconfigureerd om een ​​niet-bevoorrechte gebruiker in staat te stellen code te genereren en uit te voeren in een bevoorrecht domein – zoals Linux's 'unprivileged eBPF' – verhogen het risico op tijdelijke uitvoeringsaanvallen aanzienlijk, zelfs als verdediging tegen intra-modus [Branch Target Injection] aanwezig zijn”, zei Intel destijds.

“De kernel kan worden geconfigureerd om standaard de toegang tot onbevoegde eBPF te weigeren, terwijl beheerders het nog steeds tijdens runtime kunnen inschakelen waar nodig.”

Native BHI neutraliseert deze tegenmaatregel door aan te tonen dat BHI mogelijk is zonder eBPF. Het heeft gevolgen voor alle Intel-systemen die gevoelig zijn voor BHI.

Als gevolg hiervan maakt het het voor een aanvaller met toegang tot CPU-bronnen mogelijk om speculatieve uitvoeringspaden te beïnvloeden via kwaadaardige software die op een machine is geïnstalleerd, met als doel gevoelige gegevens te extraheren die aan een ander proces zijn gekoppeld.

“Bestaande mitigatietechnieken voor het uitschakelen van bevoorrechte eBPF en het inschakelen van (Fine)IBT zijn onvoldoende om de exploitatie van BHI tegen de kernel/hypervisor te stoppen”, aldus het CERT Coördinatiecentrum (CERT/CC) in een advies.

“Een niet-geverifieerde aanvaller kan deze kwetsbaarheid misbruiken om geprivilegieerd geheugen uit de CPU te lekken door speculatief naar een gekozen gadget te springen.”

Spectre v2-exploit

Er is bevestigd dat de fout Illumos, Intel, Red Hat, SUSE Linux, Triton Data Center en Xen treft. AMD zei in een bulletin dat het “op de hoogte is van enige impact” op zijn producten.

De onthulling komt weken nadat IBM en VUSec GhostRace (CVE-2024-2193) gedetailleerd hebben beschreven, een variant van Spectre v1 die een combinatie van speculatieve uitvoering en racecondities gebruikt om gegevens uit hedendaagse CPU-architecturen te lekken.

Cyberbeveiliging

Het volgt ook uit nieuw onderzoek van ETH Zürich dat een reeks aanvallen aan het licht bracht, genaamd Ahoi Attacks, die kunnen worden gebruikt om op hardware gebaseerde vertrouwde uitvoeringsomgevingen (TEE's) in gevaar te brengen en vertrouwelijke virtuele machines (CVM's) zoals AMD Secure Encrypted Virtualization-Secure Nested Paging te doorbreken. SEV-SNP) en Intel Trust Domain Extensions (TDX).

De aanvallen, met de codenaam Heckler en WeSee, maken gebruik van kwaadwillige interrupts om de integriteit van CVM’s te doorbreken, waardoor bedreigingsactoren mogelijk op afstand kunnen inloggen en verhoogde toegang kunnen krijgen, en ook willekeurige lees-, schrijf- en code-injectie kunnen uitvoeren om firewallregels uit te schakelen en open een rootshell.

“Voor Ahoi Attacks kan een aanvaller de hypervisor gebruiken om kwaadaardige interrupts in de vCPU's van het slachtoffer te injecteren en deze te misleiden om de interrupthandlers uit te voeren”, aldus de onderzoekers. “Deze interrupthandlers kunnen globale effecten hebben (bijvoorbeeld het veranderen van de registerstatus in de applicatie) die een aanvaller kan activeren om de CVM van het slachtoffer in gevaar te brengen.”

In reactie op de bevindingen zei AMD dat de kwetsbaarheid geworteld is in de Linux-kernelimplementatie van SEV-SNP en dat oplossingen voor het aanpakken van enkele van de problemen stroomopwaarts zijn doorgevoerd naar de belangrijkste Linux-kernel.

Thijs Van der Does