3月29日，研究人員在Linux操作系統中發現了2個新的安全漏洞，攻擊者成功利用后可以繞過Spectre 這類推測攻擊的漏洞補丁，并從kernel內存中獲取敏感信息。

[[391176]]

漏洞概述

這兩個漏洞是由Symantec研究人員Piotr Krysiuk發現的，CVE編號為CVE-2020-27170 和 CVE-2020-27171，影響5.11.8 之前版本的Linux kernel。安全補丁已于3月20日發布，Ubuntu、Debian、Red Hat等系統也都應用了補丁。

這兩個漏洞都與Linux kernel對擴展 Berkeley Packet Filters(BPF，伯克利包過濾)有關。BPF允許用戶直接在Linux kernel中執行用戶提供的程序。在加載這些程序時，Linux kernel會分析程序代碼以確保安全。但是為了修復Spectre漏洞的分析不足以保護對Spectre漏洞的利用。

CVE-2020-27170是最嚴重的漏洞，可以用來從kernel 內存中的任意位置獲取內容，也就是說可以在機器的任意RAM 中竊取內容。運行在受影響的系統上的非特權的BPF 程序可以繞過Spectre 補丁并執行沒有任何限制的界外BPF 程序。攻擊者可以通過側信道來獲取內存中的內容。非特權的BPF 程序允許在特定指針類型上執行指針運算，其中ptr_limit 是沒有定義的。在這種類型的指針上執行指針算數運算時，Linux kernel中是不包含任意對界外推測的保護的。

CVE-2020-27171 漏洞可以從4GB的內存空間獲取內容。該漏洞是在保護針對界外推測的指針算術運算時由于運算器錯誤引發的安全漏洞。運行在受影響的系統上的非特權的BPF 程序可以利用該錯誤來從4GB的kernel內存執行推測界外加載。與CVE-2020-27170 漏洞類似，攻擊者也可以通過側信道來恢復kernel 內存中的內容。

漏洞利用

漏洞利用最可能的場景是多個用戶可以訪問單個受影響的計算機，此時，非特權用戶可以濫用上述任一漏洞來從kernel 內存中提取內容來定位其他用戶的秘密信息。

如果攻擊者可以訪問有漏洞的機器，那么攻擊者還可以下載惡意軟件到受影響的計算機上以實現遠程訪問，然后利用這些漏洞獲取機器上其他用戶的信息。

Piotr 使用了2種不同的方法來證明這些保護可以被繞過。這兩種方法是相互獨立的，并且都可以讓非特權的本地用戶從kernel內存中提取內容，包括口令、剪貼板內容等。

谷歌研究人員也發布了用JS編寫的PoC來證明在運行Chrome 88 瀏覽器的Intel Skylake CPU上可以以1kb/s的速度泄露數據。

• 谷歌PoC代碼參見：https://security.googleblog.com/2021/03/a-spectre-proof-of-concept-for-spectre.html
• 更多技術細節參見：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/spectre-bypass-linux-vulnerabilities

本文翻譯自：https://thehackernews.com/2021/03/new-bugs-could-let-hackers-bypass.html