在安天就《处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告》之后,有用户就A级漏洞事件影响范围、利用方式和如何检测提出问题,针对此类形成了本FAQ。

一、关于Meltdown(熔毁)和Spectre(幽灵)漏洞相关的背景知识

 Google公司的Project Zero等安全团队披露出的英特尔等处理器芯片存在非常严重的安全漏洞,将其命名为Meltdown和Spectre。

1.Meltdown(熔毁)

Meltdown破坏了位于用户和操作系统之间的基本隔离,允许恶意代码访问主机任意内存,从而窃取其他应用程序以及操作系统内核的敏感信息。这个漏洞“熔化”了由硬件来实现的安全边界。允许低权限用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露。

2.Spectre(幽灵)

Spectre则是破坏了不同应用程序之间的隔离。问题的根源在于推测执行(speculative execution),这是一种优化技术,处理器会推测在未来可能执行的指令并预执行。这种技术的目的在于提前准备好计算结果,当这些数据被需要时可立即使用,以提升系统运行效率。内在的原因是CPU的运行速度大大快于内存的读取速度。在此过程中,英特尔等CPU没有很好地将低权限的应用程序与访问内核内存分开,这意味着攻击者可以使用恶意应用程序来获取应该被隔离的用户级私有数据。

二、关于Meltdown(熔毁)和Spectre(幽灵)漏洞的威胁和影响范围

2018年1月4日,国家信息安全漏洞共享平台CNVD发布Meltdown漏洞(CNVD-2018-00303,对应CVE-2017-5754)和Spectre漏洞(CNVD-2018-00302和CNVD-2018-00304,对应CVE-2017-5715和CVE-2017-5753)安全公告,CNVD对该漏洞的综合评级为“高危”。该漏洞存在于英特尔(Intel)x86-64的硬件中,在1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响[1]。

2018年1月4日 23时,安天发布了A级漏洞风险通告,并提醒该漏洞可能演化为针对云和信息基础设施的A级网络安全灾难[2]。

1、相关漏洞只能读取数据,为什么安天将其定性为A级漏洞。

相关漏洞本身只能读取数据,不能修改数据,但由于其获取的数据中有可能包括口令、证书和其他敏感数据,将带来横向移动攻击作业能力,包括能够完整Dump内存镜像,意味着可以获取所有打开的文件和信息,因此这个漏洞比一般性的虚拟机逃逸对云的危害更大。攻击者尽管并未实现直接从虚拟化节点到物理机的逃逸,但攻击者窃密的目的可能已经达成,包括获取到一些认证凭证后,还可以进行后续横向移动,而这种攻击对原有云的安全监测机制几乎无感,因此其对云基础设施、包括私有云,危害极大。

2、漏洞利用难度如何?

答: 漏洞利用难度很低。第一,相关漏洞已有成熟PoC代码流出,对于已公开的PoC代码,安天分析工程师已在Intel处理器的对各环境下测试验证其有效性。实验数据证明,已公开PoC可被用于获取当前进程内存数据。因此在云场景下该漏洞利用难度极低,由于云服务是可攻击面极宽,攻击者不仅较容易攻入云内有弱点的虚拟机,甚至可能直接租用主机,来运行PoC程序,通过CPU缓存获取整个物理主机的内存数据

相关漏洞对桌面用户可以实现基于浏览器等入口的组合攻击,绕过浏览器现有安全机制,获取系统内核数据,其里利用难度大于对云端的攻击。

所以,该漏洞具有的利用难度极低,潜在危害极大的特点。

3、漏洞可能的利用方式有哪些?

答: 一是云端主机(包括物理机和同机其他虚拟机)的相关敏感数据;二窃取桌面用户敏感信息。对于云服务而言,攻击者会通过租用云服务、利用其自身脆弱性或安装恶意应用程序实施攻击,并可能获取到可以支持云内横向移动的关联数据。对于桌面用户而言,攻击者可从浏览器侧当作攻击入口。

该漏洞对于专有设备的影响,我们还在分析研判。

4、漏洞被大规模利用的可能性有多大?

答:该漏洞存在可能被大规模利用的必然性。由于云服务已经是深入日常生活的广泛服务,大量政务、商务系统给予各种公有云建设,大量行业企业建设了私有云,因此该漏洞被大规模利用存在一定必然性。能否实现遏制一定成熟上在于漏洞修补的速度。对于桌面系统和移动系统来说,不仅有浏览器可能成为攻击入口,而且大量桌面客户端和移动APP实际上是对浏览器的封装,极易遭到占坑攻击或流量劫持注入攻击。

5、漏洞是会被恶意代码攻击相结合么?

答: 漏洞PoC本身就是恶意代码,对于那些攻击者已经获得的资源(如僵尸网络),毫无疑问这个漏洞扩大了他们获得战果的范围。可以连带导致连锁灾难。攻击者可利用漏洞与其他恶意代码互相配合使用,窃取的口令、证书和其他关键数据被用来当作其他攻击使用,如利用蠕虫机制进行横向移动、内部服务管理凭证发起针对性攻击等等。

6、该漏洞能有效预防么?漏洞的利用行为是否有办法监测到?

答: 该漏洞的有效修补方式是及时安装补丁。对于云基础设施的运营者来说,需要和时间赛跑。从目前来看,该漏洞监测和攻击者使用漏洞的方式有关,有的较难监测;有的已有成熟方案。但总体来说,这个漏洞是可以应对和响应的。

7  英特尔此次的漏洞与之前安天分析报送过的ME漏洞有关系吗?

答:没有关系,英特尔之前发布了ME漏洞安全公告和检测工具,但与Meltdown(熔毁)和Spectre(幽灵)漏洞无关。但这些漏洞都提醒我们当前普遍性网络安全威胁也已经抵达深海。

参考链接

[1]CNVD:关于CPU处理器内核存在Meltdown和Spectre漏洞的安全公告

[2]处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告

[3]Meltdown攻击[非官方中文速译V0.2版,安天技术公益翻译组译注]

[4]Spectre攻击[非官方中文速译V0.1版-安天技术公益翻译组译注]

[5]腾讯云安全公告

[6]阿里云安全公告

[7]亚马逊安全公告

[8]微软安全公告

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

[9]谷歌安全公告

https://googleprojectzero.blogspot.hk/2018/01/reading-privileged-memory-with-side.html

https://blog.google/topics/google-cloud/what-google-cloud-g-suite-and-chrome-customers-need-know-about-industry-wide-cpu-vulnerability/



源链接

Hacking more

...