Retbleed: Google показала как красть память любого процесса
#google #AMD #Intel #CPU #hardware

Исследователи Google продемонстрировали значительно улучшенный эксплойт уязвимости Retbleed, который позволяет читать память любого процесса на современных CPU AMD и Intel. Скорость кражи данных достигает 13 КБ/с даже из песочницы.

Retbleed - это уязвимость в современных процессорах, обнаруженная в 2022 году исследователями ETH Zürich. Она использует спекулятивное выполнение инструкций - технологию, которая позволяет CPU предсказывать и выполнять команды заранее для повышения производительности.

Что такое спекулятивное выполнение:
Современные процессоры не ждут подтверждения каждой инструкции, а выполняют их "на опережение" основываясь на предсказаниях. Это как читать следующую страницу книги, пока обдумываете предыдущую. Если предсказание оказалось неверным, результат отбрасывается, но следы остаются в кэше процессора.

➡️Механизм атаки:

Шаг 1: Обучение предсказателя
Атакующий "тренирует" систему предсказания переходов процессора, заставляя её ожидать определенные адреса памяти при выполнении return-инструкций.

Шаг 2: Спекулятивное выполнение
Когда процессор встречает return, он спекулятивно выполняет код по предсказанному адресу, даже если этот адрес содержит данные жертвы.

Шаг 3: Извлечение через кэш
Хотя результат спекулятивного выполнения отбрасывается, данные остаются в кэше. Атакующий анализирует время доступа к памяти и восстанавливает украденную информацию.

➡️Улучшения Google:
Оригинальный эксплойт Retbleed работал только в лабораторных условиях. Команда Google (Matteo Rizzo и Andy Nguyen) решила три критические проблемы:

Обход KASLR: Kernel Address Space Layout Randomization рандомизирует расположение кода ядра в памяти. Исследователи использовали микроархитектурные side-channel атаки для определения реальных адресов.

Создание идеальных гаджетов: Через спекулятивное ROP (Return Oriented Programming) они научились создавать оптимальные последовательности инструкций для утечки данных.

➡️Работа в песочнице: Эксплойт функционирует даже в строго ограниченной среде без привилегий, что делает его особенно опасным.

➡️Практические результаты:
- Скорость утечки: ~13 КБ/с с высокой точностью
- Работает из непривилегированного процесса в песочнице
- Позволяет перечислить все запущенные процессы и VM
- Может красть криптографические ключи и другие чувствительные данные
- Работает из виртуальных машин для кражи данных хоста

➡️Интересные факты:
Эксплойт работает против AMD Zen 2 процессоров, которые широко используются в облачных сервисах. Это означает, что один арендатор облака потенциально может читать данные других. Особенно опасно то, что атака работает из виртуальных машин - гость может красть данные хоста, что нарушает основы изоляции в облачных средах.

➡️Защитные меры:
Существующие митигации дорогостоящие и значительно влияют на производительность:

Микрокод процессора: AMD и Intel выпустили обновления микрокода, но они замедляют работу на 10-20%.
Отключение спекулятивного выполнения: Радикальная мера, которая может снизить производительность на 30-50%.
Изоляция процессов: Усиленная изоляция между процессами и виртуальными машинами.

➡️Проверка уязвимости:

# Проверка статуса митигаций Retbleed
cat /sys/devices/system/cpu/vulnerabilities/retbleed

# Проверка версии микрокода
grep microcode /proc/cpuinfo

➡️Настройки ядра:

# Включение всех митигаций (влияет на производительность)
echo "retbleed=auto" >> /etc/default/grub
update-grub

➡️Источники:
Google Bug Hunters
PoC

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Ghost Calls: Abusing Web Conferencing for Covert Command & Control 😎

Август выдался жарким не только по погоде — на Black Hat USA ресерчеры из Praetorian показали необычную технику, получившую название Ghost Calls 🔥

Она позволяет туннелировать трафик C2-агентов через сервисы видеоконференций (MS Teams, Zoom), маскируя его под обычные звонки 🎩

❗️ Как работает?

Red Team оператор использует протоколы и инфраструктуру звонков TURN серверов для передачи данных, благодаря чему трафик выглядит как легитимный VoIP-трафик. Даже внимательный SOC-аналитик может принять его за рабочую коммуникацию, что в свою очередь позволит коммуницировать с C2 в более тихом режиме и обходить системы обнаружения.

🔗 Research: https://www.praetorian.com/blog/ghost-calls-abusing-web-conferencing-for-covert-command-control-part-1-of-2/

🔗 Tool: https://github.com/praetorian-inc/turnt

P.S Доклад с BlackHat прикрепил в комментах к посту

Eng. version

This August was hot not just in weather — at Black Hat USA, researchers from Praetorian presented a new technique called Ghost Calls 🔥

It allows an attacker to tunnel C2 agent traffic through video conferencing services (MS Teams, Zoom), disguising it as legitimate calls 🎩

❗️ How it works?

Red Team operators leverage call protocols and infrastructure of TURN servers to transfer data, making traffic appear like normal VoIP communications. Even an experienced SOC analyst might mistake it for routine work traffic, this can allow to establish more evasive and silent C2 channels and bypass detection systems

🔗 Tool: https://github.com/praetorian-inc/turnt

P.S Presentation from BlackHat is attached in comments

🧢 s0ld13r