Yeni GhostRace Atağıyla Modern İşlemcilerde Veri Sızıntısı Riski Son araştırmalar, bilim insanlarının geliştirdiği yeni bir side-channel atağı olan GhostRace’in modern işlemcilerde veri sızıntısı riski oluşturduğunu ortaya koyuyor. Bu sorun yalnızca Intel, AMD, ARM ve IBM gibi spekülatif yürütmeyi destekleyen işlemcileri etkilemekle kalmıyor, aynı zamanda popüler yazılımları da tehdit ediyor.
Yeni GhostRace Atağıyla Modern İşlemcilerde Veri Sızıntısı Riski
IBM ve Amsterdam Özgür Üniversitesi’nden uzmanlar GhostRace’i (CVE-2024-2193) spekülatif yarış koşulu (SRC) olarak tanımlıyorlar. Bu tür bir saldırı bellekten potansiyel olarak hassas bilgilerin, örneğin şifreler ve şifreleme anahtarları gibi, çekilmesine izin veriyor. Ancak bu tür bir saldırıyı gerçekleştirmek için hedef makineye fiziksel veya ayrıcalıklı erişim gerekiyor. Yani bu sorunun uygulanması pratikte neredeyse imkansız.
Uzmanların raporuna göre yarış koşulu, birden çok iş parçacığının aynı anda ortak bir kaynağa erişmeye çalıştığında ortaya çıkıyor. Bu da koruma önlemlerini atlatmayı ve veri çalmayı içeren çeşitli güvenlik açıklarının ortaya çıkmasına neden oluyor.
Bu tür durumların ortaya çıkmasını engellemek için modern işletim sistemleri senkronizasyon primitiflerini kullanıyor, ancak araştırmacılar tarafından yapılan analiz yarış koşulu ve spekülatif yürütmenin birleştirilebileceğini gösteriyor.
“Ana sonuçlarımız, koşullu atlama kullanılarak gerçekleştirilen tüm yaygın senkronizasyon primitiflerinin, Spectre v1 saldırısını (CVE-2017-5753) kullanarak spekülatif yollarla mikro-mimari olarak atlatılabileceğidir. Bu, tüm kritik yarışsız bölgelerde spekülatif yarış koşulu (SRC) oluşturarak, saldırganların hedef yazılımdan bilgi çıkarmasına izin verecektir,” diye açıkladı araştırmacılar bloglarında. Intel, AMD, Arm ve IBM mühendisleri, GhostRace sorununu 2023’ün sonlarına doğru fark ettiklerinde, bu sorunu işletim sistemi ve hipervizör üreticilerine bildirmişlerdir.
Bu hafta, AMD, Spectre sınıfı saldırılardan korunma konusunda önceki rehberinin, GhostRace saldırılarını da önlemeye yardımcı olabileceğini müşterilerine bildirdi.
Xen hipervizör geliştiricileri de ilgili bir uyarı yayınladı ve bir koruma mekanizması geliştirdi. Ancak Xen ekibi, teknik olarak tüm Xen sürümlerinin GhostRace sorunundan etkilendiğini doğrulamış olsa da, GhostRace öncesinde zaten zayıf olan araçlar Xen projesinde kullanılmıyor ve Xen güvenlik ekibi, acil önlemlerin alınması gerektiğini düşünmüyor, bu nedenle varsayılan olarak koruma önlemleri devre dışı bırakılmıştır.
Linux geliştiricileri, IPI Storming (Inter-Process Interrupt Storming) (CVE-2024-26602) ile ilişkili sorunu önlemek için IPI hız sınırlama işlevini uyguladılar, ancak henüz performans sorunlarına yol açabileceği için daha fazla adım atmamışlardır.
Bloglarındaki yazıları ve teknik belgelerinin yanı sıra, araştırmacılar GhostRace için bir PoC (Proof of Concept) sızıntı yayınladılar, Linux çekirdeğini SCUAF (Speculative Execution Unauthorized Access Flaw) araçlarına karşı tarayan betikler ve daha önceden tespit edilmiş problemli araçların bir listesi de bulunuyor.
