英特尔(Intel)在5月14日披露了4个可外泄机密信息的处理器安全漏洞,研究人员已针对相关漏洞发展出ZombieLoad、RIDL及Fallout等多种攻击手法,而Google、苹果、微软、红帽及AWS等平台也在同一天加入修补的行列。
又是推测执行惹的祸
此次英特尔所修补的漏洞分别是CVE-2018-12126、CVE-2018-12127、CVE- 2018-12130与CVE-2019-11091,其中的CVE-2018-12126漏洞位于微架构存储缓冲区数据采样(Microarchitectural Store Buffer Data Sampling,MSBDS),CVE-2018-12127藏匿在微架构加载端口数据采样(Microarchitectural Load Port Data Sampling),CVE-2018-12130涉及微架构填补缓冲区数据采样(Microarchitectural Fill Buffer Data Sampling),CVE-2019-11091存在于微架构数据采样非缓存内存(Microarchitectural Data Sampling Uncacheable Memory)。
上述漏洞的公用点在于,它们都与推测执行(speculative execution)技术有关,会在处理器展开推测执行时出现旁路攻击漏洞,外泄系统上的信息。
推测执行技术让处理器可于空闲时提前执行可能用得上的指令,以加速处理性能,只是迄今该技术已衍生出各种漏洞与攻击展示,涵盖Spectre、Meltdown及L1TF(Foreshadow)攻击。
令人感到欣慰的,也许是这次的4个漏洞都是由英特尔的工程师自行发现,不过也有不少研究人员在这期间向英特尔提报同样的漏洞。
相关漏洞影响绝大多数的英特尔处理器产品,英特尔已准备通过微码(Microcode)更新,来降低处理器遭黑的风险。
多种攻击验证现身
奥地利的格拉茨科技大学(Graz University of Technology)已整理了利用上述漏洞的多种攻击验证,涵盖ZombieLoad、RIDL及Fallout等。
其中的ZombieLoad是由阵容庞大且来自各方的研究人员共同开发,主要开采CVE-2018-12130漏洞,宣称可在计算机访问数据时,窃取机密数据与密钥。
研究人员说明,应用程序通常只能见到自己的数据,但一个恶意程序能够开采填补缓冲区漏洞,使其泄露其它程序正在处理的消息,也许是浏览器历史纪录、网站内容、用户密钥、用户密码,或是磁盘加密密钥等。
此外,ZombieLoad攻击不仅适用于个人计算机,也适用于云计算场景。
至于RIDL(Rogue In-Flight Data Load)开采的,则是微架构的数据采样漏洞(CVE-2018-12127与CVE-2018-12130),通过多种攻击手法以于不同的CPU缓冲区中截取正在使用的数据,这些缓冲区可能存有CPU正从内存加载或存储的数据。
黑客得以通过不同的渠道,包括使用共享云计算资源、于恶意网站或广告上嵌入JavaScript,就能在计算机上执行恶意程序,越过诸如VM或SGX等各种安全疆界,以窃取同一计算机上其它程序的数据。
Fallout攻击锁定的则是CVE-2018-12126漏洞,允许黑客得以汲取缓冲区所存放的数据,且研究人员还宣称,英特尔为了避免Meltdown攻击而对新一代处理器所进行的安全改善,反而让它们更容易发动Fallout攻击。
上述皆属于旁路攻击,安全研究人员警告,它们与Spectre、Meltdown及L1TF不同,却更危险,因为这些攻击的目标为CPU缓冲区,可能存放着更多样的数据。不过,所有的攻击都不容易,皆需要具备特定的技能。
研究人员坦言,他们并不确定相关漏洞是否已被用在实际的攻击中,但截至目前尚未传出任何的攻击报告。
Google、苹果、AWS、微软、红帽展开修补
这次的宣布是有备而来,英特尔联手安全社群与平台企业都在同一天发布漏洞细节与修补程序。例如Google直接公布了各种产品受到相关漏洞影响的状态,包括已在Google架构上采取了缓解措施;大多数的Android设备不受影响;GCP平台上的某些服务需要用户采取特定行动;Chrome则依赖所执行操作系统的修补;Chrome OS 75已部署缓解措施,也只影响基于英特尔处理器的产品。
苹果则已于前一天发布的macOS Mojave 10.14.5修补了相关的推测执行漏洞,影响的是执行英特尔处理器的笔记本电脑与PC机,至于iOS设备或Apple Watch则未受波及。
AWS则说,该平台已采取额外的保护机制来防范相关漏洞,也已部署到EC2托管架构上,用户不需采取任何行动。此外,AWS也修补了Amazon Linux AMI 2018.03及Amazon Linux 2的核心及微码,建议用户即刻更新。
红帽(Red Hat)也公布了受影响的操作系统,从Red Hat Enterprise Linux 5/6/7/8、Red Hat Atomic Host、Red Hat Enterprise MRG 2、Red Hat OpenShift Online v3、Red Hat Virtualization(RHV/RHV-H)到Red Hat OpenStack Platform等,也正积极修补中。
至于微软也已发布软件更新来协助用户缓解这些漏洞,而微软的云计算服务也已采取了必要缓解措施,微软还提醒,安装相关的更新将会影响系统性能。
在有了Spectre与Meltdown等前车之鉴后,企业不忘提醒用户应同时部署操作系统的修补程序与来自英特尔的微码更新,不论是微软或苹果都建议,若要更完整地缓解漏洞,最好也关闭超线程(Hyper-Threading),以避免信息在核心与用户空间中传递时外泄。
微软表示,部署一般更新虽会对系统性能带来影响,但用户可能没什么感觉,但若关闭超线程,便会有明显的影响。苹果更说,根据该公司在特定Mac机型上的测试,部署包括关闭线程在内的所有缓解措施,最高会让计算机性能下滑40%。