Теги → уязвимость
Быстрый переход

Обнаружена ещё одна Spectre-подобная уязвимость чипов Intel

Не зря специалисты назвали ключевые уязвимости современных CPU, связанные со спекулятивными вычислениями, именем Spectre — эти призраки, похоже, ещё долго будут бродить по миру и терзать IT-индустрию. По крайней мере, корпорация Intel выплатила $100 тысяч за выявление очередной уязвимости её процессоров, связанной с утечками важных данных и близкой к Spectre 1 (CVE-2017-5753 или bounds check bypass — обход проверки границ).

Эта внушительная цифра выплат была обнародована через платформу поиска уязвимостей Hacker One и почти сразу привлекла внимание наблюдателей в области безопасности. Затем в Twitter было дано пояснение, что речь идёт о новой уязвимости процессоров Intel, которой был присвоен идентификатор CVE-2018-3693.

Стало также известно, что Intel поблагодарила Владимира Кирианского (Vladimir Kiriansky) из Массачусетского технологического института и Карла Вальдспургера (Carl Waldspurger) из Carl Waldspurger Consulting за сообщение о проблеме и координированную работу с индустрией по раскрытию информации о новой уязвимости. Чуть позже была опубликована и работа этих исследователей.

Согласно документу, на самом деле специалисты выявили две новых вариации первоначальной уязвимости Spectre 1. Они назвали их Spectre1.1 и Spectre1.2, однако именно Spectre 1.1, похоже, является наиболее проблемной, получившей собственный номер CVE. Исследование было проведено ещё в феврале 2018 года. Сейчас Intel уже обновила документацию по Spectre, включив в неё как описание нового варианта атаки, так и способы программной борьбы с ним.

Директор Oracle по обеспечению безопасности Эрик Морис (Eric Maurice) подтвердил, что его фирма обдумывает собственные программные заплатки. «Сегодня было заявлено о новой уязвимости процессоров. Уязвимость CVE-2018-3693 («Bounds Check Bypass Store» или BCBS) тесно связана с Spectre 1, — отметил он. — Как и в предыдущих вариациях Spectre и Meltdown, Oracle активно взаимодействует с Intel и другими отраслевыми партнёрами для разработки технических исправлений против этого варианта атаки CPU».

Господин Морис отметил, что новые варианты уязвимостей, использующие те же принципы, что и Spectre или Meltdown, весьма вероятны, ожидаемы и наверняка будут выявлены в обозримом будущем. «К счастью, условия использования этих архитектурных проблем остаются одинаковыми: злоумышленники вначале должны получить привилегии, необходимые для установки и исполнения вредоносного кода на целевых системах», — подчеркнул он.

Исследователи выразили убеждение, что проблема с перекрытием спекулятивных буферов Spectre1.1 может быть полностью исправлена аппаратными средствами. По их словам, будущие чипы полностью закроют возможность подобных методов атак без особого влияния на производительность.

Стоит отметить, что ещё не было обнаружено вредоносного ПО, производящего успешные атаки с помощью дыр Spectre и Meltdown, не говоря уже о различных новых вариантах. То же касается и Spectre-подобных методов, которые были выявлены с января (CVE-2018-3639, BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime). Просто заплатки уже достаточно широко установлены, что сильно усложняет атаки; вдобавок последние крайне сложны в использовании и не стоят затрачиваемых усилий, ведь существует множество более простых ошибок, дающих возможность повысить привилегии зловреда и использовать их для доступа к ядру или другому защищённому ПО.

Официальное заявление корпорации Intel об обнаруженной уязвимости:

«Мы продолжаем работать вместе с исследователями по безопасности, партнёрами и участниками академического сообщества над тем, чтобы защитить наших заказчиков от новых угроз безопасности, и, по мере возможности, мы стараемся упростить публикацию новой информации о безопасности, а также соответствующих рекомендаций для наших партнеров по отрасли и для заказчиков. С учётом этого сегодня мы публикуем подробности об устранении целого ряда потенциальных проблем, в том числе о разновидности уязвимости Variant1, получившей название Bounds Check Bypass Store, по которой уже были опубликованы соответствующие рекомендации для разработчиков. Дополнительная информация опубликована на соответствующей странице нашего сайта, посвящённой безопасности продуктов. Защита данных наших заказчиков и обеспечение безопасности наших продуктов является для Intel одним из ключевых приоритетов».

Исследователи выявили новую уязвимость процессоров Intel на базе Hyper-Threading

Исследователи из группы безопасности систем и сетей в Амстердамском свободном университете заявили, что обнаружили ещё одну критическую уязвимость в процессорах Intel. В отличие от Spectre и Meltdown, она не использует особенности реализации спекулятивного исполнения команд, но задействует технологию Hyper-Threading.

Новая атака по сторонним каналам для многопоточных процессоров была названа TLBleed, так как использует буфер ассоциативной трансляции (TLB) процессора — тип кеша, в котором хранится таблица соответствий для ускорения трансляции адреса виртуальной памяти в адрес физической памяти.

Уязвимость TLBleed работает через Intel Hyper-Threading. Когда эта технология активна, каждое ядро может выполнять несколько потоков — как правило, два одновременно. Эти потоки совместно используют ресурсы внутри ядра, включая кеши памяти и буфер TLB. Когда две программы работают на одном ядре, один из потоков может следить за другим, изучая, как он обращается к различным ресурсам CPU. Из этих наблюдений зловред может определить содержимое закрытых для него разделов памяти, содержащих секретную информацию.

Исследователи говорят, что им удалось использовать TLBleed для извлечения ключей шифрования из другой запущенной программы в 99,8 % тестов на процессоре Intel Skylake Core i7-6700K. Тесты с использованием других типов процессоров Intel тоже имели высокие показатели результативности атак.

Для работы TLBleed нужно вначале установить вредоносное ПО на систему — иначе задействовать уязвимость нельзя. «Без паники: хотя речь идёт о крутой атаке, TLBleed — это всё же не новая Spectre», — сказал исследователь Бен Грас (Ben Gras).

Это не означает, что TLBleed не следует воспринимать всерьёз. На прошлой неделе разработчики операционной системы с открытым исходным кодом OpenBSD отключили функцию многопоточности на процессорах Intel для защиты от этой уязвимости. Руководитель проекта Тео де Раадт (Theo de Raadt) намерен представить исследовательскую работу на конференции Black Hat в августе этого года, в которой покажет, почему они пошли на столь радикальный шаг.

Однако Intel, похоже, не обеспокоена потенциальными угрозами, создаваемыми уязвимостью TLBleed. Компания не запрашивает номер CVE для этой дыры в безопасности и даже отказалась заплатить исследователям награду за выявленную ими ошибку. Intel отметила, что ПО и программные библиотеки вроде Intel Integrated Performance Primitives Cryptography U3.1, написанные с прицелом на постоянное время выполнения и независимые данные кеша, должны быть невосприимчивы к TLBleed. Господин Грас полагает, что процессоры AMD тоже могут быть подвержены подобной уязвимости, потому что поддерживают исполнение нескольких потоков одновременно.

Уязвимость App Store позволяла разработчикам собирать данные о контактах пользователей

Apple исправила малоизвестную уязвимость App Store, которая позволяла разработчикам собирать данные о контактах пользователей iOS. Недавно компания анонсировала новые правила, которые распространяются на собственную информацию пользователей, но не на информацию их контактов.

Как объяснил Bloomberg, разработчики приложений для iOS могли запрашивать доступ к адресным книгам и контактам пользователей. Так они получали возможность собирать различные данные о друзьях, родственниках и коллегах «жертв» — имена, телефонные номера, электронные адреса, фотографии, даты рождения, домашние и рабочие адреса, а также информацию о том, как давно тот или иной контакт был создан. Разработчик мог передать эти данные кому угодно, и Apple об этом даже не узнала бы.

Суть уязвимости заключалась в том, что человек из списка контактов, о котором хотели собрать информацию, не мог ни отказаться от сбора своих данных, ни изъять их. Разработчики могли продавать эти данные и использовать их в рекламных целях — например, чтобы показывать пользователям продукты, которые просматривали их друзья и близкие.

Теперь Apple запретила собирать данные контактов, «за исключением явной инициативы пользователя на индивидуальной основе». Также разработчики больше не могут создавать, делиться и продавать базы данных контактов, а также использовать эту информацию в нераскрытых целях.

В Steam больше 10 лет существовала опасная уязвимость

Исследователь безопасности Том Корт (Tom Court) из компании Context рассказал о том, как он помог Valve устранить уязвимость в Steam. По словам эксперта, эта брешь существовала около 10 лет и позволяла злоумышленникам получить полный контроль над компьютерами жертв.

Платформа цифровой дистрибуции Steam работает с 2003 года, и хотя её постоянно модифицируют, многие элементы кода являются устаревшими. Приблизительно год назад Valve встроила в Steam современные механизмы защиты от эксплоитов, которые частично исправили уязвимость, существовавшую до этого около 10 лет. В результате действий Valve стало невозможно с помощью бреши напрямую захватить компьютер жертвы, лишь вызвать сбой клиента. При этом уязвимость могла использоваться при осуществлении более сложных атак.

Сотрудник Context сообщил администрации Steam об уязвимости 20 февраля этого года. «Valve узнала о бреши из электронного письма, отправленного команде безопасности платформы... Спустя 8 часов исправление появилось в бета-ветке клиента Steam», — отметил Корт. Он подчеркнул, что это одна из самых быстрых реакций, которые можно было ждать от крупной компании. В основной клиент Steam исправление попало 21 марта, в описании обновления упоминается имя исследователя.

«Существование такой простой ошибки с такими серьёзными последствиями на настолько популярной программной платформе в 2018 году удивляет и должно подтолкнуть исследователей безопасности искать уязвимости и сообщать о них!», — написал Корт.

Реакция Intel, ARM и AMD на новую Spectre-подобную уязвимость

Недавно специалисты по безопасности из Microsoft и Google сообщили об очередной выявленной ещё в ноябре 2017 года аппаратной уязвимости современных процессоров, использующих блоки спекулятивных вычислений. Какова же реакция Intel, AMD и ARM на неутешительную новость об обнаружении Spectre-подобной уязвимости CVE-2018-3639 (вариант 4)?

«Вариант 4 использует принципы спекулятивного исполнения команд, общий для большинства современных процессорных архитектур и позволяет получать доступ к определённым видам данных через сторонние каналы», — отметила исполнительный вице-президент Intel по безопасности продуктов Лесли Калбертсон (Leslie Culbertson).

«В данном случае исследователи продемонстрировали Вариант 4 в среде исполнения кода на определённом языке. Хотя мы не знаем об успешном использовании браузеров, наиболее распространённый пример такого рода — это исполнение кода JavaScript в веб-обозревателях. Начиная с января большинство ведущих браузеров уже получили заплатки для Варианта 1 в их средах исполнения — обновления существенно увеличивают сложность использования атак по сторонним каналам в веб-браузере. Они также применимы к Варианту 4 и уже доступны для потребителей сегодня», — добавила она.

По словам госпожи Калбертсон, Intel и другие компании будут выпускать новые версии микрокода и программные заплатки для более эффективного противодействия зловредам, использующим четвёртый вариант атаки. Эти заплатки сейчас тестируются производителями компьютеров и устройств. Интересно, что они будут отключены по умолчанию при распространении среди потребителей — по-видимому, потому что риск успешной атаки крайне низок и защита против неё не стоит падения производительности. Это очень сложная уязвимость, которую можно закрыть, но при этом крайне тяжело использовать. Ещё одна причина отключения заплаток по умолчанию может скрываться в потенциальных проблемах со стабильностью систем с ранними версиями обновлений против Spectre.

Лесли Калбертсон добавила: «Мы уже передали OEM-производителям и поставщикам системного ПО предварительное тестовое обновление микрокода против Версии 4 — в ближайшие недели будут выпущены финальные варианты заплатки, которые начнут развёртываться в новых версиях BIOS и обновлениях ОС. Эта заплатка будет отключена по умолчанию, предоставляя клиентам возможность включить её. Мы ожидаем, что большинство отраслевых партнёров по программному обеспечению тоже будут отключать исправление по умолчанию. В этой конфигурации мы не заметили влияния на производительность. Если же заплатка активирована, мы наблюдали снижение производительности на 2–8 процентов на основе средних оценок в тестах вроде SYSmark 2014 SE и SPEC, для клиентских и серверных систем».

Пресс-секретарь ARM тоже прокомментировал ситуацию: «Этот последний вариант Spectre затрагивает небольшое количество ядер ARM семейства Cortex-A и исправляется с помощью встроенного обновления прошивки, которое можно найти на нашем веб-сайте. Как и в предыдущих опубликованных вариантах Spectre, последний может быть задействован только в том случае, если особый тип вредоносного ПО исполняется непосредственно на клиентском устройстве. ARM настоятельно рекомендует, чтобы пользователи соблюдали общие правила безопасности против вредоносного ПО и старались вовремя обновлять своё программное обеспечение».

ARM также сообщила, что к июлю этого года выпустит обновлённые схемы однокристальных систем на базе ядер Cortex-A72, Cortex-A73 и Cortex-A75, которые будут аппаратно устойчивы ко второму варианту Spectre, а Cortex-A75 также получит обновление против Meltdown (вариант 3).

Представитель AMD рассказал об исправлениях на уровне ОС: по сути, некоторые ключевые регистры нуждаются в настройке, чтобы противостоять атакам по Варианту 4: «AMD рекомендует установить заплатки против SSB [the speculative store bypass] через обновления операционной системы для процессоров семейства 15 (продукты с архитектурой Bulldozer). Для получения подробной информации ознакомьтесь с технической документацией AMD. Microsoft завершает окончательное тестирование и проверку специфических для AMD обновлений для клиентских и серверных операционных систем Windows, которые, как ожидается, будут развёрнуты через стандартный процесс обновления. Аналогичным образом, дистрибуторы Linux разрабатывают обновления операционной системы против SSB. AMD рекомендует следовать указаниям от конкретных поставщиков ОС. Исходя из сложности использования уязвимости, AMD и наши партнёры по экосистеме в настоящее время рекомендуют использовать настройку по умолчанию».

Red Hat опубликовала важное руководство по четвёртому варианту, рассказав о его воздействии и принципах работы. VMware также предлагает комментарии и обновления, как и Xen Project.

Стоит отметить, что до сих пор не было обнаружено вредоносных программ, производящих успешные атаки с помощью дыр Spectre и Meltdown, не говоря уже о последнем четвёртом варианте. То же касается и различных Spectre-подобных методов, которые были выявлены с января (BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime). Это обусловлено либо тем, что заплатки уже достаточно широко установлены, что делает атаки в значительной степени бесплодными; либо же такие сложные атаки просто не стоят затрачиваемых усилий, поскольку существует множество более простых ошибок, позволяющих повысить привилегии зловреда и использовать их для доступа к ядру и другим приложениям. Для повышения эффективности борьбы с Meltdown и Spectre Intel предложила использовать мощности графических ускорителей для сканирования физической памяти во время простоя и выявления программных уловок.

В целом же все выявленные аппаратные ошибки безопасности, связанные с принципом спекулятивных вычислений, дают представление о том, что годами полупроводниковая индустрия концентрировала усилия на повышении производительности, уделяя куда меньше внимания механизмам защиты памяти.

Microsoft и Google обнаружили четвёртую уязвимость класса Meltdown-Spectre

Исследователи из Microsoft и Google обнаружили четвёртый вариант уязвимости современных процессоров класса Meltdown-Spectre, позволяющий несанкционированно получать доступ к данным. Эти ошибки спекулятивного исполнения команд в теории могут быть использованы вредоносным ПО, запущенным на уязвимом устройстве или компьютере, или злоумышленником, зарегистрированным в системе, для постепенного получения секретов (например, паролей) из защищённого ядра или памяти приложения.

Ранее были известны три основных варианта таких атак. Spectre — это название двух уязвимостей: вариант 1 или CVE-2017-5753 (обход проверки границ) и вариант 2 или CVE-2017-5715 (целевое внедрение в ветвь). Вариант 3 назывался Meltdown или CVE-2017-5754 (загрузка в кеш мошеннических данных).

Теперь исследователи рассказали о варианте 4 (CVE-2018-3639). Он затрагивает современные процессорные ядра, поддерживающие исполнение команд с изменением последовательности от Intel, AMD, ARM, а также процессоры IBM Power 8, Power 9 и System z. Следует помнить, что ядра ARM применяются во всём мире в смартфонах, планшетах и встраиваемой электронике.

Четвёртый вариант уязвимостей может быть в теории использован даже скриптами, запущенными внутри программ — например, с помощью кода JavaScript на веб-странице на вкладке браузера — для похищения конфиденциальной информации из других частей приложения (например, личных данных с другой вкладки).

Исправления, уже выпущенные против варианта 1, который является самой трудной для исправления уязвимостью, должны сделать атаки с применением варианта 4 намного сложнее. Другими словами, веб-браузеры и аналогичные программы с исполнением скриптов и другого внешнего кода, защищённые от атак Spectre 1, одновременно должны ослаблять результативность атак по варианту 4. На данный момент о реальном вредоносном ПО, которое бы задействовало вариант 4, ничего не известно.

Специалистами по безопасности, кстати, была также раскрыта ещё одна ошибка CVE-2018-3640: это мошенническое считывание системного реестра, позволяющее обычным программам получать доступ к флагам состояния оборудования — например, к регистрам, которые должны быть в идеальном мире доступны только ядру операционной системы, драйверам и гипервизорам.

Вариант 4 также называется Speculative Store Buffer Bypass и связан со спекулятивным исполнением подходящих по мнению процессорной логики команд в те моменты, когда текущие инструкции занимаются сохранением данных в медленную память. Современные CPU не желают простаивать и используют это время для ускорения работы, что серьёзно отражается на быстродействии.

Этот метод спекулятивных вычислений подразумевает перенос данных в кеш-память первого уровня. Именно на основе анализа этих остаточных данных в кеше вредоносная программа, повторяя процедуру снова и снова, может извлекать критически важную информацию. Название Spectre вполне подходит этому методу, который в чём-то похож на наблюдение за призраком.

Вариант 4 был обнаружен ещё в ноябре 2017 года совместными усилиями Янна Хорна (Jann Horn) из команды Google Project Zero и Кена Джонсона (Ken Johnson) из Microsoft. Поэтому у производителей было достаточно времени, чтобы разработать средства борьбы с уязвимостью. Сообщается, что программные заплатки против этого метода приведут к очередной деградации производительности на значение до 8 % (в перспективе за счёт оптимизаций планируется снизить урон).

Смартфоны LG оказались подвержены двум серьёзным уязвимостям

Исследовательская группа Check Point Research сообщила об обнаружении двух уязвимостей в предустановленной виртуальной клавиатуре Android-смартфонов LG G4, LG G5 и LG G6. Выявленные бреши получили статус критических и могли быть использованы злоумышленниками для удалённого выполнения вредоносного кода с повышенными привилегиями на мобильных устройствах, перехвата набираемых пользователем на клавиатуре данных и получения доступа к конфиденциальной информации.

В опубликованном экспертами Check Point Research отчёте уточняется, что первая ошибка безопасности связана с функцией настройки языков в клавиатуре. Оказалось, что для добавления или обновления языковых пакетов смартфон подключается к внешнему серверу по незащищённому HTTP-соединению, через которое можно было провести атаку типа «человек посередине» (Man-in-the-middle, MITM) и осуществить загрузку на устройство вредоносного файла вместо легитимного языкового обновления.

Вторая уязвимость касается местоположения языкового файла. С помощью механизма «обход каталога» киберпреступник мог изменить его расширение и внедрить злонамеренный код в конфигурационный файл клавиатуры LG.

Сообщается, что сведения о найденных «дырах» были оперативно донесены до соответствующих служб компании LG, которая уже подготовила патч с майским обновлением безопасности. Специалисты по информационной безопасности советуют владельцам упомянутых моделей мобильных устройств не затягивать с установкой выпущенного апдейта.

Более подробную информацию об обнаруженных уязвимостях можно найти на странице research.checkpoint.com/lg-keyboard-vulnerabilities.

Заплатка Windows 7 против Meltdown открывает опасную уязвимость

Январские и февральские исправления Microsoft остановили ошибку Meltdown, которая позволяла с помощью изощрённых методов получать пароли из защищённой памяти. Однако исследователь безопасности Ульф Фриск (Ulf Frisk) обнаружил, что исправления открыли гораздо худшую ошибку ядра, которая позволяет любому процессу читать и записывать в любое место памяти ядра.

По словам специалиста, проблема затрагивает только 64-битные операционные системы Windows 7 x64 и Windows Server 2008 R2. Он утверждает, что две заплатки ошибочно устанавливали бит в трансляторе виртуальной-физической памяти, известном как PLM4 (карта страниц четвёртого уровня), что в итоге позволяет пользовательскому приложению обращаться к таблицам страниц ядра.

Модуль управления памятью процессора (MMU) Intel использует эту базу 4-уровневой иерархии таблиц страниц для трансляции виртуального адреса процесса в адрес физической памяти ОЗУ. Правильно установленный бит обычно гарантирует, что ядро имеет эксклюзивный доступ к этим таблицам — в обычных условиях пользователю они недоступны.

В результате, по словам господина Фриска, ошибка делает предельно лёгкой задачу доступа к физической памяти, поскольку в Windows 7 таблица страниц PML4 находится на фиксированном адресе памяти (в Windows 10 адрес случаен). Эта ситуация означает, что злоумышленник также сможет без труда найти таблицу страниц Windows 7, которая доступна всем пользовательским приложениям.

В результате эксплоиту не нужно делать никакой лишней работы — можно просто считывать уже сопоставленную память нужного процесса, если только физическая память дополнительно не защищена расширенными страницами таблиц (EPT), используемыми для виртуализации. Microsoft, кстати, уже исправила ошибку в мартовском обновлении безопасности, переназначив бит разрешения PML4 в правильное значение. Поэтому всем пользователям Windows 7 и Windows Server 2008 R2 рекомендуется немедленно обновиться. Windows 10 и Windows 8.1 не были затронуты проблемой.

Исследователи обнаружили ещё одну Spectre-подобную атаку BranchScope

Команда учёных из четырёх университетов США обнаружила новый вариант атаки по сторонним каналам (side-channel attack), которая использует особенности спекулятивного исполнения в современных процессорах для извлечения важных данных из процессоров пользователей. По сути речь идёт об ещё одном варианте Meltdown- и Spectre-подобных атак, о которых общественность узнала в самом начале года.

Впрочем, специалисты в своём исследовании отмечают, что в отличие от предыдущих уязвимостей, их метод атакует новую секцию процесса спекулятивного исполнения команд. Уязвимость получила имя BranchScope, потому что наиболее сходна со Spectre CVE-2017-5715 (branch target injection — целевое внедрение в ветвь).

BranchScope позволяет злоумышленникам направить конвейер спекулятивных расчётов по нужному им пути для получения доступа к определённым областям памяти процессора и извлечения данных, доступа к которым в нормальных условиях у них нет. Уязвимость в целом работают похоже с CVE-2017-5715, но последняя нацелена на атаку буфера адресов ветвлений (Branch Target Buffer), который является компонентом кеша для операций прогнозирования ветвлений. В свою очередь BranchScope атакует предсказатель направленного ответвления (directional branch predictor) — процесс, который решает, какие спекулятивные операции выполняются.

Учёные отмечают, что BranchScope — первая атака по сторонним каналам, которая нацелена непосредственно на предсказатель ветвлений, и что она может использоваться в том числе для извлечения содержимого, хранящегося в анклавах SGX, наиболее защищённых областях процессоров Intel. Исследовательская группа уже успешно проверила свой метод и доказала, успешное извлечение данных из последних чипов Intel, включая Sandy Bridge, Haswell и Skylake. Команда заявила, что атака может быть запущена из пользовательского пространства (без прав администратора) и имеет коэффициент ошибок менее 1 %.

Специалисты также заявили, что поскольку речь идёт о новой атаке, в настоящее время нет никаких заплаток против BranchScope, а исправления против Spectre неэффективны. Впрочем, по их словам, закрыть уязвимость можно как аппаратными, так и программными средствами. Но в своём заявлении Intel утверждает обратное:

«Мы работаем с этими исследователями и определили, что метод, который они описывают, аналогичен ранее известным вариантам атак по сторонним каналам. Мы ожидаем, что существующие программные исправления для известных уязвимостей такого рода, такие как использование криптографии с защитой от стороннего канала, будут также эффективны против метода, описанного в этом документе. Мы считаем, что тесное партнёрство с исследовательским сообществом является одним из лучших способов для защиты клиентов и их данных, и высоко ценим работу этих исследователей».

Помимо Meltdown, Spectre и теперь BranchScope, недавно были обнаружены и другие варианты атак по сторонним каналам: SgxSpectre, MeltdownPrime и SpectrePrime.

AMD работает над исправлением 13 уязвимостей своих чипов

13 марта Сеть облетела информация об обнаружении небольшой израильской компанией CTS Labs уязвимостей в чипах AMD. В отличие от обычной практики, специалисты не дали AMD времени, чтобы должным образом подготовиться и эффективно отреагировать. Мотивировали они своё поведение тем, что AMD якобы всё равно не успела бы за 3 месяца (стандартный срок неразглашения) выпустить заплатки, а некоторые аппаратные дыры и вовсе невозможно залатать.

Всё это и другие данные дали повод считать, что CTS Labs, в значительной степени преувеличившая значение угроз, является заинтересованной стороной (как минимум стремящейся сделать имя на скандале). Создатель Linux, в частности, посчитал, что внезапность и поспешность была обусловлена игрой заинтересованных сторон на котировках акций AMD.

Теперь история получила продолжение: AMD опубликовала официальный отчёт с анализом выявленных CTS Labs уязвимостей процессоров Ryzen и EPYC на специальной странице своего сайта. Компания отметила, что заплатки для всех уязвимостей будут выпущены для миллионов устройств в ближайшие недели и никак не скажутся на производительности. Наиболее продолжительное время может занять борьба с Chimera, которая требует внесения исправлений не самой AMD, а сторонним производителем чипсета. Так или иначе, все ошибки требуют внесения изменений в прошивку BIOS.

Другими словами, CTS Labs, по-видимому, оказалась неправа: AMD вполне по силам выпустить заплатки за несколько недель. И если бы компании был дан стандартный срок в 90 дней, а не менее 24 часов, как это случилось на практике, к тому времени вероятнее всего были бы давно доступны обновлённые прошивки BIOS, а многие пользователи их бы уже установили.

Пресс-секретарь AMD Сара Янгбауэр (Sarah Youngbauer) посетовала на этот неприятный факт: «Каждая из перечисленных проблем может быть устранена с помощью исправлений прошивки и стандартного обновления BIOS, которые мы планируем выпустить в ближайшие недели. Мы считаем, что этот случай является ярким примером того, почему существует стандартное 90-дневное окно уведомлений». Компания обещает в ближайшие недели предоставить расширенную информацию об анализе ошибок и исправлениях.

Как сообщают многие специалисты и независимые исследователи, злоумышленникам крайне сложно воспользоваться уязвимостями, о которых заявила CTS Labs. Старший вице-президент и главный технический директор AMD Марк Пейпермастер (Mark Papermaster) подтвердил в своём отчёте, что все выявленные проблемы требуют наличия у хакера административного доступа к системе.

Но это означает по сути неограниченный доступ с правом удалять, создавать или изменять любую из папок или файлов на компьютере, а также менять настройки. Любой злоумышленник, получивший несанкционированный доступ к административным ресурсам, тем самым уже имеет в арсенале целый спектр куда более эффективных и результативных атак. Более подробное описание малой полезности для злоумышленников 13 выявленных уязвимостей под громкими именами Masterkey, Ryzenfall, Fallout и Chimera компания AMD предлагает прочесть в отчёте независимой команды Trail of Bits.

Критики также указывали на правовую оговорку на веб-сайте CTS Labs: «Сообщаем, что мы можем прямо или косвенно быть экономически заинтересованы в показателях ценных бумаг компаний, чьи продукты являются предметом наших отчётов». Но в прошлую среду главный финансовый директор и соучредитель CTS Labs Ярон Лук-Зильберман (Yaron Luk-Zilberman), бывший менеджер хедж-фонда, сказал, что у него нет инвестиций (как краткосрочных, так и долговременных) в Intel или AMD.

Отчёт о безопасности CTS Labs за неделю до передачи в AMD просочился в финансовую компанию Viceroy Research, замеченную ранее в спекуляциях с игрой на понижении. Viceroy призналась, что использовала отчёт, чтобы попытаться снизить курс акций AMD. CTS Labs заявила, что не имеет отношения к Viceroy Research. AMD отказалась комментировать вопросы финансовой мотивации CTS Labs.

Современные яхты могут быть уязвимы к атакам хакеров

Новые модели яхт могут быть оснащены роутерами и другими системами, уязвимыми ко взлому, отметил Стефан Герлинг (Stephan Gerling) из компании ROSEN Group во время конференции Security Analyst Summit 2018. По его словам, в современных суднах есть «дыры» вроде работающих по FTP-протоколу роутеров, которые могут использовать злоумышленники.

На яхте могут быть установлены устройство для обслуживания судов, системы автоматической идентификации и контроля двигателя, автопилот, GPS-приёмники, радар, камеры, эхолоты и так далее. Все эти технологии подключены к сети, которой можно управлять с внешнего устройства вроде смартфона. Поэтому у хакеров есть возможность взять под контроль всю яхту целиком.

В рамках демонстрации Герлинг открыл на смартфоне, планшете и компьютере приложение для управления судном, которое подключилось к роутеру и загрузило XML-файл с его полной конфигурацией — в том числе с именем и паролем беспроводной точки доступа. Поскольку файл передавался по незащищённому FTP-протоколу, злоумышленники могли получить контроль над роутером и сетью. После этого у них появилась бы возможность перехватывать HTTP-ссылки и потоки аудио и видео, а также управлять устройствами на судне.

Помимо этого, был обнаружен аккаунт с root-доступом к маршрутизатору — его, вероятно, создали разработчики для удалённой технической поддержки. После демонстрации поставщик яхты, на которой проводились опыты, выпустил обновление, исправив ряд уязвимостей — например, он заменил FTP-протокол на SSH. Но вот учётную запись с root-доступом поставщик так и не удалил.

«В целом, у нас не особо много советов для владельцев яхт, — говорится в отчёте «Лаборатории Касперского», в котором появилась информация о потенциальной уязвимости. — Если вкратце, то мы рекомендуем выбирать производителя информационно-развлекательного решения с умом».

Создатель Linux раскритиковал отчёт CTS Labs об уязвимостях AMD

На днях неизвестная израильская контора CTS Labs опубликовала отчёт об обнаружении свыше дюжины уязвимостей процессоров AMD Ryzen и EPYC. При этом не были соблюдены стандартные процедуры информирования производителя и в целом история оказалась как минимум неоднозначной. Но широкий резонанс она всё же получила, так что среди прочих создатель Linux Линус Торвальдс (Linus Torvalds) решил её прокомментировать.

В ветке обсуждения Google+ он написал: «Когда вы в последний раз видели описание проблем с безопасностью, которые бы в основном сводились к тому, что если заменить BIOS или микрокод процессора зловредной версией, у пользователя может возникнуть проблема с защитой данных? Угу». Другой комментатор развил мысль: «А я обнаружил уязвимости во всём аппаратном обеспечении. Нет безопасных устройств: если у вас есть физический доступ, вы можете просто взять его под мышку и унести. Я уже эксперт по безопасности?».

CTS Labs дала AMD менее суток на исправление выявленных ошибок, которые назвала броскими именами Ryzenfall, Master Key, Fallout и Chimera. В беседе с ресурсом Tom’s Hardware израильская фирма пояснила, что пошла на этот шаг по той причине, что хотела скорее проинформировать общественность, а AMD якобы всё равно не сможет исправить уязвимости в течение многих, многих месяцев или даже за год.

Почему CTS Labs могла это сделать? Господин Торвальдс делает более простой и приземлённый вывод: «Для меня вся эта история больше походит на манипулирование курсом акций, чем на советы по безопасности». Да, ошибки были выявлены, но они требуют наличия прав администратора и едва ли не физического доступа к системе — по мнению Линуса Торвальдса, всё это совершенно не стоит шумихи, которая была поднята.

Это не первый случай. Например, в Linux недавно была выявлена уязвимость Chaos, главным условием для работы которой является наличие у злоумышленника root-пароля. Но если хакер имеет такой пароль, то система уже по сути взломана, остальное — детали. По мнению господина Торвальдса, сейчас индустрия безопасности научила всех относиться к выводам экспертов некритически, и это сильно вредит. Он полагает, что есть настоящие исследователи безопасности, но большинство спекулируют на самых мелких дырах, придумывая при этом броские имена и создавая специальные сайты — из-за этого, по мнению создателя Linux, они часто выглядят клоунами.

Господин Торвальдс далеко не в первый раз в грубой форме критикует положение дел в индустрии кибербезопасности из-за того, что важные проблемы часто игнорируются, а мелкие ошибки раздуваются до небес.

Новые данные об инциденте с CCleaner указывают на подготовку третьего этапа атаки

Инцидент с CCleaner в прошлом году наделал много шума, и специалисты по безопасности продолжают его изучение. Напомним: 18 сентября 2017 года компания Avast сообщила, что CCleaner был использован киберпреступниками, чтобы распространять вредоносное ПО через установочный файл утилиты. Изменённый файл установки был загружен 2,27 млн пользователей. Вредоносное ПО попало на серверы Piriform, разрабатывающей CCleaner, в период с 11 марта по 4 июля 2017 года до приобретения Piriform компанией Avast 18 июля 2017 года.

Первый этап вредоносного ПО был разработан для сбора нечувствительной информации от пользователей CCleaner, включая, например, имя компьютера, список установленного программного обеспечения и список запущенных процессов. Этот этап включал в себя возможности загрузчика, которые были использованы для установки двоичного кода второго этапа всего лишь на 40 компьютеров из миллионов устройств, заражённых первой волной. То есть атака была крайне избирательной. Недавно Avast опубликовала информацию о том, что мог быть и третий предполагаемый этап атаки. Впрочем, доказательств того, что бинарный файл третьего этапа был загружен на заражённые компьютеры, у компании нет.

Чтобы устранить угрозу из сети Piriform, компания перенесла среду сборки Piriform в инфраструктуру Avast, заменила всё оборудование и перевела персонал на внутреннюю IT-систему Avast. Компания осуществила тщательную проверку инфраструктуры Piriform и компьютеров и обнаружила предварительные версии первого и второго этапов, а также доказательства использования на четырёх компьютерах специализированного инструмента ShadowPad, который применяется некоторыми киберпреступниками. Версия была, похоже, специально разработана для атаки на Piriform и установлена вторым этапом атаки.

Предположительно, за всеми атаками на CCleaner стоит китайская группа хакеров Axiom, которая и является автором ShadowPad. Avast обнаружила и журнальные файлы ShadowPad, которые содержали зашифрованные нажатия клавиш из установленного на компьютерах клавиатурного шпиона, который работал с 12 апреля 2017 года. С помощью ShadowPad киберпреступники могли управлять четырьмя заражёнными системами удалённо, собирать учётные данные и анализировать операции. Помимо клавиатурного шпиона на компьютерах были установлены другие инструменты, в том числе утилиты для похищения паролей и удалённой установки дополнительного ПО.

ShadowPad был установлен на системах сети Piriform, но ни один из компьютеров пользователей CCleaner, похоже, не был заражён. Впрочем, Avast полагает, что это планировалось в рамках третьего этапа. В то время как порядка 2,27 млн клиентов CCleaner и предприятий загрузили заражённый продукт CCleaner, злоумышленники установили вредоносный код второго этапа только на 40 систем, обслуживаемых высокотехнологичными и телекоммуникационными компаниями.

Уязвимости процессоров AMD: всё не так очевидно?

Вчера разнеслась новость о том, что ранее неизвестная исследовательская фирма CTS-Labs выявила 13 серьёзных уязвимостей в продуктах AMD. Если эти недостатки безопасности действительно настолько критичны, то крайне важно, чтобы AMD немедленно с ними справилась. Но стоит обратить внимание на довольно необычный способ, который израильская фирма выбрала для раскрытия информации об уязвимостях, и на другие связанные с этим странности, на которые указывают многие специалисты.

В случае со Spectre и Meltdown, например, серьёзный урон индустрии нанёс даже тот факт, что публикация информации об уязвимостях произошла на неделю раньше, чем планировали Intel, AMD, ARM и Google. Но при этом упомянутые компании были осведомлены о Spectre и Meltdown с июня (то есть за полгода) и в течение этого времени работали над исправлениями. Фактически, Google предоставила разработчикам процессоров и ОС расширенный срок для выпуска исправлений. Это стандартная процедура раскрытия информации об уязвимостях: обычно затронутым компаниям предоставляется, по крайней мере, 90-дневное окно для создания заплаток и подготовки адекватной реакции. Но израильская контора CTS-Labs уведомила AMD менее чем за день до публикации.

Стоит добавить, что CTS-Labs наняла PR-фирму для обработки запросов прессы, а её красочный веб-сайт AMDFlaws.com явно не соответствует типичной методологии раскрытия информации об ошибках. Фактически, текст сайта призван вызвать панику и включает в себя цитаты вроде подобных:

«Зачем мы это делаем? Чтобы обратить внимание общественности на проблемы и предупредить пользователей и организации. В частности, мы настоятельно призываем сообщество уделять более пристальное внимание безопасности устройств AMD, прежде чем использовать их в критически важных системах, которые могут потенциально подвергнуть опасности жизни людей».

Spectre затрагивает каждый процессор Intel (и ряда других компаний), выпускаемый в последние два десятка лет, но Google Project Zero избегала такого рода гиперболических заявлений, когда раскрыла уязвимость наряду с Meltdown. Вот ещё одна любопытная цитата:

«Как скоро будут доступны исправления? Мы не знаем. CTS связывается с отраслевыми экспертами, чтобы попытаться ответить на этот вопрос. По мнению экспертов, уязвимости прошивки, такие как MasterKey, RyzenFall и Fallout, требуют нескольких месяцев для исправления. Аппаратные уязвимости, такие как Chimera, не могут быть исправлены и требуют обходного пути. Реализация обходных методов, в свою очередь, может быть затруднительна и вызвать нежелательные побочные эффекты».

Но почему ссылка идёт на неких экспертов, тогда сотрудники CTS не дождались ответа и официальной оценки от самой AMD? Обычно для определения времени, необходимого для выпуска исправлений, специалистам по безопасности нужно связаться с производителем. К тому же сайт CTS-Labs почти не содержит технической информации об уязвимостях, зато изобилует инфографикой: возможно целью является привлечение скандального внимание общественности, а не сообщения о проблеме с безопасностью?

Хорошие конторы, занимающиеся безопасностью, не подставляют пользователей под потенциальную угрозу, публикуя сведения об уязвимостях, борьба с которыми может занять несколько месяцев. Такие фирмы не нагоняют панику, а используют сайты вроде AMDFlaws для технического информирования. Они не делают выводов, а передают информацию в нужные руки для скорейшего преодоления проблем.

Минимум один независимый эксперт по безопасности, Дэн Гвидо (Dan Guido), утверждает, что опубликованные уязвимости CTS Labs действительно имеют место. Он отметил, что ещё на прошлой неделе с ним связались специалисты CTS Labs для проверки своих выкладок, предоставили полный технический отчёт и примеры кода эксплоитов для каждого набора уязвимостей. «Независимо от шумихи вокруг публикации, могу отметить, что ошибки реальны, точно описаны в техническом отчёте (который, насколько мне известно, не является публичным), и их код эксплоитов работает», — отметил он.

Похоже, ошибки действительно реальны, но насколько они критические? Многие отмечают, что их значение многократно преувеличено. Сам же Дэн Гвидо при просьбе сравнить их с уязвимостями блока предсказания ветвлений современных CPU сказал: «Meltdown и Spectre потребовали новых исследований. Напротив, все эти последние уязвимости были хорошо поняты ещё с 1990-х годов. Они не являются новыми фундаментальными проблемами, они представляют собой хорошо понимаемые ошибки программирования».

Если проблемы безопасности реальны, AMD должна поскорее их исправить. Компания заслуживает критики за то, что не смогла их выявить ранее. Но даже если выводы CTS-Labs являются подлинными, компания сообщила их в такой манере, которая целиком противоречит нормальной практике сообщества безопасности. Всё это слишком похоже на чёрный PR, в котором заинтересованы какие-то стороны.

Вполне возможно, что начинающая CTS-Labs решила таким скандалом привлечь к себе внимание ценой пренебрежения лучшими практиками раскрытия информации о безопасности. Впрочем, выявление 13 уязвимостей в известном микропроцессоре гарантировало, что внимание в любом случае будет привлечено.

CTS-Labs призналась ресурсу Reuters в том, что состоит из шести сотрудников и делится своими исследованиями с компаниями, которые платят за информацию. Пользователи Reddit указали, что специалисты компании сняли свои интервью «на зелёном экране», а затем заменили фон (что также косвенно свидетельствует о скромном размере конторы).

Тем временем компания Viceroy Research, замеченная в спекуляциях с игрой на понижении, опубликовала на основе полученных от CTS данных 25-страничный «некролог» AMD, в котором заявляет, что AMD стоит $0,00, и полагает, что никто в принципе не должен покупать продукты AMD для каких бы то ни было целей. Он также прогнозирует, что AMD будет вынуждена подать заявление о банкротстве. Посмотрим, как будут развиваться события далее и как прокомментирует сложившуюся ситуацию сама AMD.

В чипах AMD обнаружены собственные критические уязвимости

Похоже, 2018 год собирается пройти под флагом критических аппаратных уязвимостей современных центральных процессоров. Вслед за обнародованием проблем Spectre и Meltdown, связанных со спекулятивным исполнением команд, специалисты по безопасности обнаружили ряд дыр в безопасности чипов AMD, позволяющих атакующим получить доступ к защищённым данным.

Особенно тревожным является тот факт, что уязвимости касаются так называемой специальной защищённой области процессоров — именно там устройство обычно хранит критически важные и конфиденциальные данные вроде паролей или ключей шифрования. Кроме того, этот блок отвечает за проверку, что на системе не запущено никаких вредоносных программ при старте компьютера.

Находящаяся в Израиле компания по безопасности CTS-Labs объявила, что её исследователи обнаружили целых 13 критических уязвимостей, которые в теории позволяют злоумышленникам получать доступ к данным, хранящимся на процессорах AMD Ryzen и EPYC, а также установить на них вредоносное ПО. Чипы Ryzen используются в настольных ПК и ноутбуках, а процессоры EPYC применяются на серверном рынке.

В отличие от Google Project Zero, которая дала индустрии полугодовую фору, чтобы исследовать проблемы Meltdown и Spectre, израильские специалисты не стали тянуть. Перед публикацией отчёта они дали AMD лишь менее суток, чтобы изучить уязвимости и отреагировать. Обычно раскрытие информации об уязвимости требует уведомления за 90 дней, чтобы компании успели правильно устранить недостатки.

«Безопасность для AMD приоритетна, и мы постоянно работаем над её обеспечением для наших пользователей по мере возникновения новых рисков. Мы изучаем этот отчёт, который только что получили, чтобы понять методологию и суть результатов работы исследователей», — прокомментировал представитель AMD.

AMD так описывает технологию защиты: «Secure Processor (ранее — процессор для обеспечения безопасности платформы, PSP) является выделенным процессором с технологией ARM TrustZone, а также программной защищённой средой Trusted Execution Environment (TEE), призванной обеспечить работу доверенных приложений сторонних разработчиков. AMD Secure Processor — технология на базе аппаратных средств, которая обеспечивает безопасную загрузку с уровня BIOS до среды TEE. Доверенные приложения сторонних разработчиков могут задействовать стандартные программные интерфейсы, чтобы воспользоваться защищённой средой TEE. Функции защиты TEE работают не во всех приложениях».

По словам соучредителя CTS-Labs и финансового директора Ярона Лук-Зильбермана (Yaron Luk-Zilberman), эти новые уязвимости можно разделить на четыре основные категории. Все они по сути позволяют злоумышленникам нацелиться на самый защищённый сегмент процессора, который имеет решающее значение для хранения конфиденциальной информации на устройстве. «Определить вредоносный код, хранящийся в Secure Processor, почти невозможно. Зловред может располагаться там годами и не быть обнаруженным», — подчеркнул господин Лук-Зильберман. О каких же категориях идёт речь?

Master Key

Когда устройство запускается, оно обычно проходит процесс «безопасной загрузки». ПК использует процессор, дабы проверить, что на компьютере ничего не подделано, и исполняются только доверенные программы. Уязвимость Master Key позволяет обходить проверку при запуске, устанавливая вредоносное ПО в BIOS компьютера, — ту ключевую часть системы, которая контролирует процесс запуска ещё до старта ОС. Как только ПК заражён, Master Key позволяет злоумышленникам устанавливать вредоносное ПО, несмотря на любые средства аппаратной защиты CPU, то есть получить полный контроль над исполняемыми во время запуска программами. Соответственно, уязвимость также даёт возможность злоумышленникам отключать функции безопасности на процессоре.

Ryzenfall

Эта уязвимость затрагивает именно чипы AMD Ryzen и позволяет вредоносным программам полностью заполучить контроль над блоком Secure Processor. Это, как уже отмечалось, означает возможность доступа к самым защищённым данным, включая ключи шифрования, пароли, информацию кредитной карты и биометрическим сведениям. По словам исследователей, в теории обычный злоумышленник не может получить доступ к этим блоками процессора.

Если злоумышленники могут обойти Защиту учётных записей Windows Defender, они смогут использовать украденные данные для распространения на другие компьютеры в сети. Credential Guard — это функция Windows 10 Enterprise, хранящая конфиденциальные данные пользователя в защищённом разделе операционной системы, к которому обычно нельзя получить доступ. «Технология Windows Credentials Guard, как правило, очень эффективна для защиты паролей на машине и не позволяет им распространяться, — отмечает господин Лук-Зильберман. — Атака значительно упрощает задачу распространения по сети».

Fallout

Как и в случае с Ryzenfall, атаки Fallout тоже позволяют злоумышленникам получать доступ к разделам защищённых данных, включая Credential Guard. Но эта уязвимость затрагивает только устройства, использующие защищённый процессор AMD EPYC. В декабре Microsoft объявила о партнёрстве с AMD в рамках платформ Azure Cloud, использующих EPYC.

Эти чипы применяются в центрах обработки данных и облачных серверах, связывая компьютеры, используемые в разных отраслях по всему миру. Если злоумышленники задействовали уязвимости, описанные в Fallout, они могли украсть все хранившиеся учётные данные, и распространиться по сети. «Эти сетевые учётные данные хранятся на отдельной виртуальной машине, к которой не могут быть применены обычные инструменты взлома, — подчеркнул исполнительный директор CTS-Labs Айдо Ли Он (Ido Li On). — В случае с Fallout, эта изоляция между виртуальными машинами нарушается».

Изолированные виртуальные машины — это части памяти компьютера, отделённые от остальной системы. Исследователи используют их, например, для тестирования вредоносного ПО, не рискуя при этом заразить остальную часть компьютера. Для максимальной безопасности Credential Guard использует механизмы на основе виртуализации, чтобы только привилегированное системное ПО могло получать доступ к защищённым данным.

«У Windows есть обязательства по отношению к клиентам, в рамках которых мы непременно расследуем заявленные проблемы безопасности и как можно скорее обновляем уязвимые устройства. Наша стандартная политика заключается в предоставлении решений через наш текущий график обновления по вторникам», — прокомментировал ситуацию представитель Microsoft.

Chimera

Chimera порождается двумя разными уязвимостями: одна — в прошивке и одна — в аппаратном обеспечении. В итоге чипсет Ryzen позволяет вредоносным программам работать на нём. Поскольку Wi-Fi, сетевой и Bluetooth-трафик проходит через чипсет, злоумышленник, по словам исследователей, может использовать его для заражения устройства. В демонстрации, подтверждающей концепцию, специалистам удалось установить клавиатурный шпион, который позволил видеть всё, что вводится на заражённом компьютере. Проблемы с прошивкой чипсета означают, что атака может устанавливать вредоносное ПО на сам процессор. «Мы обнаружили, что проблема вызвана во многом простейшими ошибками в коде прошивки Ryzen», — сказал вице-президент CTS-Labs по исследованиям и дизайну Ури Фаркас (Uri Farkas).

Что сейчас делать?

Пока сложно сказать, сколько времени потребуется, чтобы исправить эти проблемы с процессорами AMD. CTS-Labs заявила, что ещё не получила отклика от AMD. Исследователи сказали, что может потребоваться несколько месяцев, чтобы внести необходимые исправления. Аппаратные же уязвимости, по их словам, не могут быть в полной мере устранены.

Intel, ARM, AMD, Microsoft и многие другие компании по-прежнему вносят исправления, призванные закрыть уязвимости Meltdown и Spectre, и в конечном итоге заплатки вызывают те или иные проблемы, в том числе замедляют работу устройств. Нововыявленные уязвимости могут означать аналогичную головную боль для AMD и владельцев устройств на базе процессоров последней.

«Если злоумышленник может проникнуть в процессор безопасности, это означает, что большинство заявленных функций защиты данных недействительны», — подчеркнул господин Ли Он. Подробнее ознакомиться с описанием уязвимостей и с затронутыми или потенциально небезопасными чипами AMD можно на особом сайте.