Un groupe de chercheurs a développé une nouvelle attaque appelée GhostRace capable de provoquer des fuites de données sur les processeurs modernes de chez Intel, AMD, ARM et IBM.
Les experts d’IBM et de l’Université libre d’Amsterdam décrivent GhostRace (CVE-2024-2193) comme une condition de concurrence spéculative (SRC). Cette attaque vous permet d’extraire de la mémoire des informations potentiellement sensibles, telles que des mots de passe et des clés de chiffrement. Cependant, pour mener à bien l’attaque, un accès physique ou privilégié à la machine cible sera nécessaire, ce qui signifie qu’exploiter ce problème en pratique est une tâche très difficile.
Le rapport d’expert indique qu’une condition de concurrence critique se produit lorsque plusieurs threads tentent simultanément d’accéder à une ressource partagée, ce qui peut conduire à des vulnérabilités pouvant être exploitées de diverses manières, notamment l’exécution de code arbitraire, le contournement de sécurité et l’extraction de données.
Pour éviter que de telles situations ne se produisent, les systèmes d’exploitation modernes utilisent des primitives de synchronisation, mais l’analyse des chercheurs a montré que les conditions de concurrence peuvent être combinées avec une exécution particuliére.
« Notre principale conclusion est que toutes les primitives de synchronisation courantes implémentées à l’aide de branches conditionnelles peuvent être contournées microarchitecturalement sur des chemins spéculatifs à l’aide de l’ attaque Spectre v1 (CVE-2017-5753), provoquant une condition de concurrence spéculative dans toutes les zones critiques sans race (SRC). ce qui permettra aux attaquants d’extraire des informations du logiciel cible« , ont expliqué les chercheurs dans un article de blog .
GhostRace : la menace fantôme pour Intel, AMD, ARM et IBM
Afin de mener une attaque et de « gagner » la course, l’exécution du processus victime doit être interrompue au bon moment et maintenue afin que l’attaquant puisse effectuer ce que les chercheurs appellent un SCUAF (Speculative Concurrent Use-After-Free). ) attaque.
Pour cela, les scientifiques ont utilisé une nouvelle technique d’attaque appelée Inter-Process Interrupt (IPI) Storming, qui consiste à faire déborder le cœur du processeur du processus cible. En conséquence, ils ont démontré une attaque SCUAF sur le noyau Linux, qui a entraîné une fuite d’informations de la mémoire du noyau à une vitesse de 12 kilo-octets par seconde.
Bien que l’étude se soit concentrée sur les architectures x86 et Linux, les experts ont déclaré que les produits d’autres fabricants, ainsi que les logiciels autres que Linux, étaient sensibles à l’attaque.
« En général, tout logiciel est vulnérable au SRC, par exemple un système d’exploitation, un hyperviseur, etc., qui implémente des primitives de synchronisation via des branches conditionnelles sans aucune instruction de sérialisation et s’exécute sur n’importe quelle microarchitecture (par exemple, x86, ARM, RISC). -V, etc.), ce qui permet d’exécuter des branches conditionnelles de manière spéculative« , expliquent les chercheurs.
Les ingénieurs d’Intel, AMD, Arm et IBM ont été informés du problème GhostRace fin 2023 et ont, à leur tour, signalé la vulnérabilité aux fabricants de systèmes d’exploitation et d’hyperviseurs.
AMD a publié cette semaine un avis informant ses clients que les conseils précédents sur la protection contre les attaques Spectre devraient également aider à prévenir les attaques GhostRace.
Les développeurs de l’ hyperviseur Xen ont également émis un avertissement correspondant et développé un mécanisme de protection. Bien qu’ils aient confirmé que techniquement toutes les versions de Xen sont affectées par le problème GhostRace, le projet n’utilise pas de gadgets vulnérables à GhostRace, et l’équipe de sécurité de Xen ne pense pas qu’il y ait un besoin urgent de prendre des mesures, donc les mesures de protection sont désactivés par défaut.
Les développeurs Linux ont implémenté une fonctionnalité de limitation de débit IPI qui devrait protéger contre le problème associé IPI Storming (Inter-Process Interrupt Storming) (CVE-2024-26602), mais n’ont pas encore pris de mesures supplémentaires en raison de problèmes de performances potentiels.
En plus de leur article de blog et de leur livre blanc, les chercheurs ont déjà publié un exploit PoC pour GhostRace, des scripts conçus pour analyser le noyau Linux à la recherche de gadgets SCUAF et une liste de gadgets problématiques déjà identifiés. (pdf)
