最近のすべてのインテルCPUにある新しい「ブランチ特権インジェクション」の欠陥により、攻撃者はオペレーティング・システム・カーネルのような特権ソフトウェアに割り当てられたメモリ領域から機密データを漏洩させることができる。
通常、これらの領域には、パスワード、暗号キー、他のプロセスのメモリ、カーネルのデータ構造などの情報が格納されているため、漏洩から保護することは極めて重要である。
チューリッヒ工科大学の研究者であるSandro Rüegge氏、Johannes Wikner氏、Kaveh Razavi氏によると、Spectre v2の緩和策は6年間維持されていたが、彼らの最新の「Branch Predictor Race Conditions」エクスプロイトは、それらを効果的に回避する。
ブランチ特権インジェクション」と名付けられ、CVE-2024-45332で追跡されているこの欠陥は、インテルCPUで使用されているブランチ予測器のサブシステムにおけるレースコンディションである。
BTB(Branch Target Buffer)やIBP(Indirect Branch Predictor)のような分岐予測器は、最適なパフォーマンスを得るためにCPUパイプラインをフルに保つために、分岐命令が解決される前にその結果を推測しようとする特殊なハードウェアコンポーネントである。
これらの予測は投機的なものであり、最終的に間違っていた場合は元に戻される。しかし、予測が正しければ、性能は向上する。
研究者らは、インテルの分岐予測の更新が命令の実行と同期していないため、これらの更新が特権境界を横断していることを発見した。
ユーザー・モードからカーネル・モードへのような特権切り替えが発生した場合、更新が誤った特権レベルに関連付けられるわずかな隙が生じる。
その結果、ユーザーとカーネル間の隔離が破られ、非特権ユーザーが特権プロセスからデータを漏洩する可能性がある。
チューリッヒ工科大学の研究チームは、CPUが特定の分岐ターゲットを予測するように訓練した後、システムコールを実行してOSカーネルに実行を移し、攻撃者が制御するターゲット(「ガジェット」)を使用して投機的実行に導くエクスプロイトを開発した。
このコードは、キャッシュにロードされた秘密データにアクセスし、サイドチャネル方式でその内容を攻撃者にリークする。
研究者らは、デフォルトの緩和策を有効にしたUbuntu 24.04上で、ハッシュ化されたアカウント・パスワードを含む「/etc/shadow/」ファイルの内容を読み取る攻撃を実演した。このエクスプロイトは、99.8%の精度で5.6KB/秒のピーク・リーク・レートを達成することができる。
影響と修正
CVE-2024-45332は、Coffee Lake、Comet Lake、Rocket Lake、Alder Lake、Raptor Lakeを含む、第9世代以降のすべてのIntel CPUに影響する。
「第9世代(Coffee Lake Refresh)以降の全てのインテル・プロセッサーは、Branch Privilege Injectionの影響を受けます。
「しかし、我々は第7世代(Kaby Lake)までさかのぼったプロセッサーで、間接分岐予測バリア(IBPB)をバイパスする予測を観測している。
チューリッヒ工科大学の研究者たちは、現時点ではそれ以前の世代をテストしていないが、それらは拡張間接分岐制限投機(eIBRS)をサポートしていないため、この特定のエクスプロイトとの関連性は低く、古いSpectre v2のような攻撃を受けやすい可能性が高い。
Arm Cortex-X1、Cortex-A76、AMD Zen 5およびZen 4チップも調査されましたが、これらは同じ非同期プレディクタ動作を示さないため、CVE-2024-45332の脆弱性ではありません。
出典:ETH Zurich:チューリッヒ工科大学
この攻撃はLinux上で実証されたが、欠陥はハードウェアレベルで存在するため、理論的にはWindows上でも悪用可能である。
研究者らは2024年9月にインテルに調査結果を報告し、インテルは影響を受けるモデルでCVE-2024-45332を緩和するマイクロコード・アップデートをリリースした。
ファームウェアレベルの緩和は2.7%のパフォーマンス・オーバーヘッドをもたらし、ソフトウェアによる緩和はCPUによって1.6%から8.3%のパフォーマンス影響がある。
通常のユーザーにとってはリスクは低く、攻撃には現実的な悪用シナリオを開くための複数の強力な前提条件がある。とはいえ、最新のBIOS/UEFIおよびOSアップデートを適用することが推奨される。
チューリッヒ工科大学は、近日開催されるUSENIX Security 2025のテクニカル・ペーパーで、今回の悪用の全容を発表する予定だ。
更新 5/13 –インテルはCVE-2024-45332に関するセキュリティ情報を発表し、以下のコメントも寄せている:
「チューリッヒ工科大学(ETH Zurich)によるこの研究および協調的な公開に関する協力に感謝する。インテルは、Spectre v2 ハードウェアの緩和策を強化しており、適切なアップデートが必要な場合は、システム・メーカーに問い合わせることを推奨しています。現在までのところ、インテルは過渡的実行の脆弱性が実際に悪用されていることを認識していません。”- インテル広報担当者
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments