ETH ઝુરિચની એક ટીમે ખુલાસો કર્યો છે VMScape (સ્પેક્ટર-BTI), એક સટ્ટાકીય અમલ હુમલો જે હુમલાખોર-નિયંત્રિત વર્ચ્યુઅલ મશીનને આઇસોલેશન તોડવા અને હોસ્ટ સિસ્ટમમાંથી ડેટા કાઢવાની મંજૂરી આપવા સક્ષમ છે. તરીકે વર્ગીકૃત CVE-2025-40300, બ્રાન્ચ પ્રિડિક્ટરમાં નબળાઈઓ પર આધાર રાખે છે અને વર્તમાન AMD અને Intel પ્રોસેસરોને અસર કરે છે.
નવીનતા એ છે કે તે કામ કરે છે સુધાર્યા વિનાના હાઇપરવાઇઝર ડિફોલ્ટ ક્લાઉડ રૂપરેખાંકનોમાં, KVM/QEMU સ્ટેકને લક્ષ્ય બનાવતા. તેમના પરીક્ષણોમાં, સંશોધકો સફળ થયા QEMU પ્રક્રિયામાંથી મેમરી લીક થવી a ૩૨ બે/સેકન્ડ અને થોડા સમયમાં સંવેદનશીલ રહસ્યો - ક્રિપ્ટોગ્રાફિક કી સહિત - પુનઃપ્રાપ્ત કરો ૧૮ મિનિટ (≈૧.૦૯૨ સેકન્ડ).
VMScape શાખા આગાહીમાં ગાબડાઓનો ઉપયોગ કરે છે
હુમલો એ સ્થિતિમાં ટકી રહ્યો છે અપૂર્ણ અલગતા શાખા આગાહી એકમ (BPU)આધુનિક CPUs કૂદકાની અપેક્ષા રાખીને કામગીરીને વેગ આપે છે, પરંતુ eIBRS અને AutoIBRS જેવા હાર્ડવેર અવરોધો વર્ચ્યુઅલાઈઝ્ડ વાતાવરણમાં ખૂબ જાડા હોય છે અને તેઓ બારીકાઈથી ભેદ પાડતા નથી ચાર મુખ્ય ડોમેન્સ વચ્ચે: HU (હોસ્ટ યુઝર), HS (હોસ્ટ સુપરવાઇઝર), GU (ગેસ્ટ યુઝર), અને GS (ગેસ્ટ સુપરવાઇઝર).
આ ગ્રેન્યુલારિટીનો અભાવ ક્રોસ-ડોમેન હસ્તક્ષેપ માટેનો દરવાજો ખોલે છે. ટીમના મતે, સાથે પણ તાજેતરના સુધારાઓ આગામી પેઢીના પ્રોસેસરોમાં, GU અને HU વચ્ચેના અલગતાની ખાતરી આપવામાં આવતી નથી સિવાય કે વધારાના પગલાં સાથે તેને મજબૂત બનાવવામાં આવે, જેનાથી એક છટકબારી રહે છે જેનો ઉપયોગ દૂષિત મહેમાન દ્વારા કરી શકાય છે.
હુમલો સાંકળ અને એક્સફિલ્ટરેશન ટેકનિક
સંશોધકોએ સ્પેક્ટર-BTI માટે એક આદિમ વર્ચ્યુઅલાઈઝેશન હુમલાનું વર્ણન કર્યું છે જેને vBTI GU→HU: VM ની અંદર એક અનપ્રિવિલેજ્ડ પ્રક્રિયા બ્રાન્ચ પ્રિડિક્ટરને તાલીમ આપે છે અને હોસ્ટ (QEMU) પર વપરાશકર્તા પ્રક્રિયાના અનુમાનને પ્રભાવિત કરવાનું સંચાલન કરે છે. આમ, પછી વીએમએક્સિટ, હોસ્ટ તેના કોડમાં પહેલાથી જ હાજર "ડિસ્ક્લોઝર ગેજેટ" ને સટ્ટાકીય રીતે ચલાવી શકે છે.
કેશ સાઇડ ચેનલ સાથે બાઇટ બાય બાઇટ એક્સફિલ્ટ્રેશન કરવામાં આવે છે. ફ્લશ+રીલોડઆ શક્ય બનાવવા માટે, મહેમાન QEMU જગ્યામાં ફાળવેલ શેર્ડ મેમરી તૈયાર કરે છે, અને ખૂબ જ ચોક્કસ ઍક્સેસ પેટર્નનો ઉપયોગ કરે છે; કેટલાક કિસ્સાઓમાં તે લાભ લે છે એમએમઆઈઓ રેકોર્ડ નિયંત્રણને સરળ બનાવવા અને ફિલ્ટરિંગ વિશ્વસનીયતા વધારવા માટે.
એક મુખ્ય પડકાર "અટકળો બારી" ને પહોળો કરવાનો છે. ટીમ યોગ્ય જમ્પના નિરાકરણમાં વિલંબ કરવામાં સફળ રહી ખાલી કરાવવાના સેટ સામે નોન-ઇન્ક્લુઝિવ એલએલસી એએમડી ઝેન 4 અને ઝેન 5 ના, તે મહત્વપૂર્ણ અંતરાલને લંબાવવો અને લીક દર જાળવી રાખવો ૩૨ બે/સેકન્ડ હોસ્ટની QEMU પ્રક્રિયા પર.
શોષણ એંડ-ટુ-એન્ડ છે: VMEXIT પછી તાલીમ અને સક્રિયકરણ તબક્કા ઉપરાંત, તેમાં શામેલ છે ASLR ને ટાળવા માટેની તકનીકો અને લક્ષ્ય ડિસ્ક્લોઝર ગેજેટ્સ અને પ્રદેશો શોધો, સમગ્ર રૂટને અવલોકન કરેલ સમયમર્યાદામાં પૂર્ણ કરો 18 મિનિટ.
અસરગ્રસ્ત વિસ્તાર અને પ્લેટફોર્મ
VMScape આધુનિક CPU ની વિશાળ શ્રેણીને અસર કરે છે: એએમડી ઝેન ૧ થી ઝેન ૫ અને કુટુંબ ઇન્ટેલ કોફી લેકપરીક્ષણ કરાયેલ વેક્ટર KVM/QEMU વર્ચ્યુઅલાઈઝેશન ઇકોસિસ્ટમ પર ધ્યાન કેન્દ્રિત કરે છે, જે જાહેર અને ખાનગી ક્લાઉડમાં વ્યાપક છે, તેથી જોખમ બહુ-ભાડૂત વાતાવરણ તે તુચ્છ નથી.
આ પરિસ્થિતિઓમાં, દૂષિત ઇરાદા ધરાવતો VM આગાહી કરનારની સ્થિતિમાં દખલ કરો હાઇપરવાઇઝરમાં ફેરફાર કરવાની જરૂર વગર, હોસ્ટ અને ફોર્સ સટ્ટાબાજી હાલના ઉપકરણો તરફ, એક વિગત જે નબળાઈની ઓપરેશનલ ક્રિટિકલિટીમાં વધારો કરે છે.
ઉપલબ્ધ ઘટાડાઓ અને કામગીરી ખર્ચ
જવાબદાર જાહેરાત પછી, Linux કર્નલ જાળવણીકારોએ પેચો બહાર પાડ્યા જે શાખા આગાહી અવરોધ રજૂ કરે છે: દરેક VMEXIT માં IBPB હાઇપરવાઇઝર યુઝર સ્પેસ (QEMU) પર પાછા ફરતા પહેલા. ઝેરી BPU સ્થિતિનું આ ક્લિયરિંગ એટેક પ્રિમિટિવને તોડે છે.
અસર ઘટાડવા માટે, કર્નલ લાગુ કરે છે આગાહી કરનારાઓને ખાલી કરવા શરતી રીતે, જ્યારે જરૂરી હોય ત્યારે જ તેને સક્રિય કરવું. લાક્ષણિક લોડ હેઠળ, માપેલ ખર્ચ આસપાસ છે 1%, જોકે સઘન I/O પરિસ્થિતિઓમાં તે નોંધપાત્ર રીતે વધી શકે છે, જેમાં ટોચની જાણ કરવામાં આવી છે 51% સુધી નક્કર પુરાવા અનુસાર.
પેચ આમાં ઉપલબ્ધ છે Linux 6.8 અને પછીના, અને QEMU/KVM ને નવા સંક્રમણ ક્રમનું પાલન કરતા સંસ્કરણોમાં અપડેટ કરવાની ભલામણ કરવામાં આવે છે. વધુમાં, ડિપ્લોયમેન્ટ નીતિઓની સમીક્ષા કરવાની સલાહ આપવામાં આવે છે જેથી ખાતરી થાય કે આઈબીપીબી તે VM એક્ઝિટ પર વ્યવસ્થિત રીતે ઉત્સર્જિત થાય છે.
ઘટનાક્રમ અને ઇકોસિસ્ટમ પ્રતિભાવ
ટીમે AMD અને Intel PSIRTs ને બગની જાણ કરી જૂન 7, 2025, સંકલિત પ્રતિબંધ હેઠળ જ્યાં સુધી 11 સપ્ટેમ્બર 2025આ સમય દરમિયાન, અમે હાઇપરવાઇઝર્સમાં કર્કશ ફેરફારો વિના ઘટાડા તૈયાર કરવા અને તેમને અપનાવવાની સુવિધા આપવા માટે સમુદાય સાથે કામ કર્યું.
પ્રતિબંધ હટાવવા સાથે, ક્લાઉડ પ્રદાતાઓ અને ઓન-પ્રિમાઈસ વહીવટકર્તાઓને વિનંતી કરવામાં આવી છે કે અપડેટ્સ લાગુ કરો વિલંબ કર્યા વિના. એવા સ્થાપનોમાં જ્યાં ક્લાયન્ટ્સ વચ્ચે હાર્ડવેર શેરિંગ સામાન્ય છે, ત્યાં એક્સપોઝર સમય ઘટાડવો એ સરળ છે જટિલ.
સુરક્ષા ટીમો માટે વ્યવહારુ ભલામણો
કર્નલ અપગ્રેડને શાખાઓમાં પ્રાથમિકતા આપો યુઝરસ્પેસમાં બહાર નીકળતા પહેલા IBPB અને ચકાસો કે પ્રોડક્શન હાઇપરવાઇઝરને મિટિગેશન વારસામાં મળે છે. જ્યાં તાત્કાલિક અપગ્રેડ શક્ય ન હોય, ત્યાં મૂલ્યાંકન કરો વળતર નિયંત્રણો (સંવેદનશીલ લોડનું અલગીકરણ, CPU આકર્ષણ, સહ-સ્થાનનો ઘટાડો).
અવલોકનક્ષમતાને મજબૂત બનાવે છે: મોનિટર કરે છે અસામાન્ય VMEXIT, કેશ મિસ રેટ અને QEMU માં અસામાન્ય પેટર્ન. જોખમના હેતુ માટે, તે એન્ક્રિપ્શન કી અને અન્યને સંબોધિત કરે છે માળખાગત રહસ્યો જેમ કે શેર કરેલા હોસ્ટ પર સંભવિત રીતે ખુલ્લા પડેલા ઉચ્ચ-મૂલ્યના ડેટા.
ઓડિટ અને થ્રેટ મોડેલિંગમાં, ધારો કે વિશેષાધિકાર-સ્તર સંરક્ષણ (eIBRS/AutoIBRS) હોઈ શકે છે અપર્યાપ્ત યજમાન અને મહેમાન વચ્ચેના ક્રોસ-સ્પેક્ટ્રમ હુમલાઓ સામે, અને પરિભ્રમણ નીતિઓના દસ્તાવેજો સંકેતલિપી સામગ્રી નવા દૃશ્ય અનુસાર.
VMScape નો દેખાવ પુષ્ટિ કરે છે કે હુમલો સપાટી વર્ચ્યુઅલાઈઝેશનમાં સટ્ટાકીય અમલ હજુ પણ અમલમાં છે: મહેમાન હોસ્ટ પર સટ્ટા લગાવવા દબાણ કરી શકે છે અને 32 B/s પર મેમરી લીક કરી શકે છે, પરંતુ ઘટાડા પર આધારિત છે VMEXIT માં IBPB, જે આધુનિક Linux માં પહેલાથી જ હાજર છે, મોટાભાગના લોડ પર મર્યાદિત અસર સાથે સમસ્યાને ઉકેલવાની મંજૂરી આપે છે.