Сегодня 24 февраля 2018
18+
Теги → уязвимость
Быстрый переход

Microsoft выпустила прошивку для Surface Pro 3 против Spectre

Обнаруженные специалистами Google Project Zero уязвимости Meltdown и Spectre, вызванные аппаратными особенностями работы блока предсказания ветвлений в современных процессорах, стали большой проблемой для индустрии. Они требуют обновления не только операционных систем, но также драйверов, браузеров, компиляторов, антивирусов и даже микрокода.

Вслед за выпуском Intel обновлений микрокода для её последних процессоров ряд производителей стали предлагать свежие прошивки. В частности, Microsoft представила соответствующее обновление для планшетов Surface Pro 3 — по словам производителя, UEFI 3.11.2350.0 призвано закрыть потенциальные дыры в безопасности, включая Meltdown и Spectre.

Владельцы Surface Pro 3 могут установить обновление для своего устройства через процедуру Windows Update или вручную загрузить его из раздела драйверов и прошивок на официальном сайте Microsoft. Любопытно, что планшет Surface Pro 3 оснащался в своё время процессорами с архитектурой Haswell, а Intel ещё официально не выпустила исправленное обновление микрокода для этих чипов. Видимо, Microsoft уже вполне уверена в стабильности ещё тестируемой версии.

Владельцам этих устройств не в первый раз приходится обновлять прошивку, чтобы избавиться избавления от существенных проблем. Например, в 2016 году Microsoft после череды жалоб на работу аккумулятора и трудностей с исправлением ошибки представила новую прошивку, после которой время автономной работы Surface Pro 3 вернулось к нормальному уровню.

Intel выпустила обновления микрокода для нескольких поколений CPU

С начала января сложно было пропустить новости, касающиеся аппаратных уязвимостей Spectre и Meltdown — настолько серьёзной и всеобъемлющей оказалась тема. Хотя производители знали об этих проблемах ещё с лета прошлого года, большинство, похоже, начало реагировать лишь после обнародования подробностей специалистами команды Google Project Zero.

Например, Intel ещё в январе помимо прочих заплаток выпустила обновления микрокода против Spectre для своих процессоров Broadwell, Haswell, Skylake, Kaby Lake и Coffee Lake. Но почти сразу выяснилось, что они приводят к сбоям и перезагрузкам систем. Вначале Intel заявила, что проблема касается только чипов Broadwell и Haswell, но позже признала существование сбоев на компьютерах с процессорами Skylake, Kaby Lake и Coffee Lake и рекомендовала партнёрам и пользователям пока воздержаться от установки заплаток. Наконец, в начале февраля был представлен исправленный вариант микрокода, но только для мобильных и настольных потребительских чипов семейства Skylake.

Теперь, после месяца интенсивных тестов и обкатки заплаток Intel и её партнёрами, пришло время и других более или менее актуальных процессоров: были выпущены обновления микрокода для чипов на базе архитектур Kaby Lake и Coffee Lake, а также незатронутых предыдущим обновлением Skylake-базированных платформ. Речь идёт о процессорах 6, 7 и 8-го поколений Intel Core i, а также последних семейств Core X, Xeon Scalable и Xeon D.

Новый вариант микрокода будет доступен в большинстве случаев через выпуск OEM-производителями новых прошивок материнских плат и ноутбуков. Intel по-прежнему призвала людей постоянно обновлять свои системы до актуальных версий, а также опубликовала документ, в котором расписала состояние аналогичных исправлений микрокода для других своих продуктов, в том числе более ранних чипов, начиная с 45-нм Core 2. Для каких-то из этих чипов заплатки только планируются, для других — находятся в состоянии раннего тестирования, для третьих — существуют уже в виде бета-версии. Как правило, чем старее архитектура, тем позже она получит прошивки с защитой против Spectre. Тем не менее, обновления микрокода для более-менее актуальных архитектур Sandy Bridge, Ivy Bridge, Haswell и Broadwell уже находятся в состоянии бета-тестирования. Также ряд чипов Atom и даже ускорители Xeon Phi уже получили заплатки.

Intel напомнила, что существуют и другие методы борьбы против вскрытых уязвимостей блока предсказания ветвлений в современных процессорах. Например, Retpoline, разработанный Google против Spectre CVE-2017-5715 (branch target injection или целевое внедрение в ветвь). Для тех, кто интересуется дополнительной информацией о Retpoline и принципах его работы, компания опубликовала особый технический доклад.

Выпущенные Intel обновления микрокода против Spectre в ближайшие дни и недели начнут выходить в виде свежих прошивок BIOS для различных материнских плат. Любопытно, окажут ли они дополнительный эффект на деградацию производительности конечных систем?

Портативную консоль Nintendo Switch удалось превратить в Linux-планшет

Успешный маркетинг в совокупности с грамотной реализацией задуманного позволили Nintendo продать за девять месяцев текущего финансового года около 15 млн фирменных консолей Switch. Неудивительно, что ажиотаж вокруг устройства привлёк внимание не только обычных геймеров, желающих весело скоротать время за счёт портативного гаджета, так и энтузиастов-экспериментаторов, которые не приемлют коммерческий продукт без его существенных доработок.

 

nerdist.com

nerdist.com

Обнаруженная почти две недели назад уязвимость в программной части Nintendo Switch позволила загрузить на консоль Linux. Однако автор безобидного эксплойта решил не останавливаться на достигнутом и продолжил начатую работу по модернизации интерфейса Nintendo Switch. 

Опубликованный видеофрагмент наглядно демонстрирует, как хакер с ником «fail0verflow» тестирует консоль Nintendo Switch с Linux-платформой «на борту». В качестве графической оболочки им была выбрана KDE Plasma, которая обеспечила необходимое тактильное взаимодействие с гаджетом посредством сенсорного ввода, а также позволила выйти через него в Сеть. 

Таким образом игровая консоль усилиями «fail0verflow» превратилась в планшетный компьютер для гиков, способный даже распознавать несколько одновременных нажатий по дисплею и покидать «режим сна» после касания сенсорной поверхности. 

Автор ролика не раскрывает детали эксплойта и не объясняет, каким именно образом ему удалось «привить» KDE Plasma консоли Switch, так что повторить увиденный трюк в домашних условиях пока не представляется возможным. Сам «fail0verflow» отмечает, что разработчикам из Nintendo для устранения бреши, которая позволяет загрузить пользовательскую прошивку, недостаточно просто выпустить патч. Проблема кроется значительно глубже и требует вмешательства в аппаратную часть устройства. 

Google обнародовала неисправленную уязвимость Microsoft Edge

То ли программное обеспечение становится всё более сложным и неконтролируемым, то ли вопросам безопасности стали уделять больше внимания. Но на этот раз уязвимость выявлена в браузере Microsoft Edge. Вместе с обнародованием информации о дыре в безопасности, исследователь из Google Иван Фратрик (Ivan Fratric) сообщает о возможности обойти защиту Arbitrary Code Guard (AGG) и подвергнуть риску компьютер с Windows 10.

AGG была встроена в версию операционной системы 1703 (Creators Update) для блокирования эксплойтов JavaScript, пытающихся загрузить вредоносный код в память. Технически пользователи могут подвергнуть опасности свои компьютеры, просто посетив сомнительный сайт, посредством которого злоумышленники производят атаку.

Microsoft была уведомлена о существующей уязвимости в ноябре, но всё ещё не выпустила заплатку, потребовавшую больше времени. «Исправление проблемы управления памятью оказалось более сложным, чем предполагалось изначально, и с большой долей вероятности мы не успеем уложиться до выхода февральского пакета обновлений. Команда информационной безопасности настроена представить его 13 марта, однако этот срок выходит за рамки 90-дневного периода неразглашения (в рамках программы Project Zero) и дополнительного 14-дневного льготного периода, связанного с периодичностью выхода обновлений Windows», — сообщается в комментарии Microsoft.

Следовательно, пользователям браузера Microsoft Edge желательно до этого времени постараться избегать не вызывающих доверия сайтов, ссылки на которые, как правило, приходят из непроверенных источников, рассылаются по email и через мессенджеры. Учитывая сравнительно небольшую популярность браузера Edge, количество находящихся в зоне риска пользователей не очень велико, тем не менее Microsoft следовало бы поторопиться с развёртыванием исправления.

Microsoft придётся переписать код Skype для Windows для устранения одной уязвимости

Корпорация Microsoft подтвердила наличие уязвимости в Skype, которая позволяет злоумышленникам получить привилегии администратора на компьютере. Компания не сможет решить проблему в ближайшее время, потому что для этого потребуется переписать уязвимую часть кода.

Уязвимость была обнаружена исследователем безопасности Стефаном Кантхаком (Stefan Kanthak), который сообщил, что компонент Skype, используемый для обновления, можно обмануть с целью модифицировать системную библиотеку. Это позволяет хакеру загружать вредоносный код и помещать его в пользовательскую временную папку, подменяя её на существующую библиотеку, которая может быть изменена кем угодно. По словам Кантхака, после получения доступа злоумышленник «может сделать что угодно». Однако для этого хакеру необходимо получить физический доступ к компьютеру, например, зайти под гостевым аккаунтом.

Кантхак сообщил Microsoft об этой уязвимости, которая позволила хакерам получать права администратора, ещё в сентябре 2017 года. Компания признала, что исправление потребует «большой перестройки кода». Исправить уязвимость обычным патчем невозможно. Для этого компании придётся переписать код и выпустить новую версию Skype для Windows, на что потребуется гораздо больше времени. Точная дата выхода новой версии Skype пока неизвестна.

Свежевыявленные уязвимости CPU требуют новых аппаратных заплаток

Похоже, проблемы индустрии с уязвимостями, которые активно обсуждались в январе, не собираются заканчиваться. Напомним: тогда общественность узнала, что почти все современные процессоры в той или иной степени подвержены на уровне архитектуры уязвимостям Meltdown и Spectre, связанным с принципом спекулятивных вычислений, используемым для повышения производительности CPU.

Как и предполагалось ранее, Meltdown CVE-2017-5754 (rogue data cache load — загрузка в кеш мошеннических данных), Spectre CVE-2017-5753 (bounds check bypass — обход проверки границ) и Spectre CVE-2017-5715 (branch target injection — целевое внедрение в ветвь) — могут быть далеко не единственными способами использования блока предсказания ветвлений для доступа к защищённым данным.

Исследователи из NVIDIA и Принстонского университета Каролина Триппель (Caroline Trippel), Даниэль Лустиг (Daniel Lustig), Маргарет Мартонози (Margaret Martonosi) опубликовали доклад, в котором описали новые типы атак, названные ими MeltdownPrime и SpectrePrime и снова затрагивающие почти все современные центральные процессоры.

Принцип этих атак схож, но новшество заключается в том, что они нацелены на многоядерные чипы и используют механизм аннулирования линий кеша в современных протоколах когерентности кеш-памяти при передаче данных между ядрами. Как и в случае с Meltdown и Spectre, успешная атака позволяет получить доступ к важной закрытой для сторонних приложений информации вроде паролей. Код SpectrePrime, предлагаемый исследователями в качестве доказательства концепции, приводит к успеху атаки в 99,95 % случаев исполнения на процессоре Intel (уровень успешности обычной атаки Spectre достигает 97,9 %).

Впрочем, в отличие от специалистов Google, в данном случае исследователи благоразумно не опубликовали свой код (напомним, что большинство зарегистрированных зловредов Spectre и Meltdown пока основаны именно на коде Google). Более того, по словам исследователей, разрабатываемые или выпущенные уже заплатки против Meltdown и Spectre вероятнее всего закроют и соответствующие Prime-уязвимости или потребуют минимальных доработок, чтобы залатать новые дыры. Напомним: все основные операционные системы уже получили заплатки против Meltdown и постепенно, не без трудностей, поступают новые прошивки и заплатки против Spectre. Также вносятся изменения в браузеры, антивирусы, драйверы и компиляторы программного обеспечения, чтобы обеспечить дополнительную защиту против Spectre.

Впрочем, MeltdownPrime и SpectrePrime могут создать проблемы для ещё не вышедших на рынок процессоров Intel и AMD. Дело в том, что оба ключевых производителя в настоящее время активно трудятся над внесением в будущие чипы аппаратных изменений против уязвимостей, связанных со спекулятивными вычислениями, однако, по словам исследователей, Prime-атаки могут потребовать собственных аппаратных заплаток. Разработка чипов — это долгий процесс, так что компании могут не успеть с исправлениями, и будущие процессоры, возможно, по-прежнему потребуют программных заплаток — например, архитектура Zen 2, которая, согласно обещанию AMD, не будет подвержена на аппаратном уровне атакам Spectre, выявленным специалистами Google.

«Мы считаем, что микроархитектурные исправления наших Prime-вариантов потребует новых усилий. В то время как Meltdown и Spectre возникают путём загрязнения кеша во время спекулятивных вычислений, MeltdownPrime и SpectrePrime вызваны тем, что запросы на запись отправляются спекулятивно в системе, которая использует протокол когерентности кеша на основе аннулирования», — отмечают специалисты.

Любопытно, что вместе с открытием MeltdownPrime и SpectrePrime корпорация Intel многократно подняла премии за найденные в её продуктах уязвимости, связанные с атаками Spectre по сторонним (побочным) каналам на кеш L3 — максимальная сумма может достигать теперь $250 тысяч. В общем, индустрии придётся её долго и упорно преодолевать выявленную проблему. А пользователям, не желающим терять пароли или другие данные, — своевременно обновлять системы и средства защиты от атак.

Windows Analytics теперь может проверить, защищён ли компьютер от Meltdown и Spectre

Microsoft обновила Windows Analytics, и теперь этот бесплатный инструмент проверяет, уязвим ли компьютер к атакам по методу Meltdown и Spectre.

Об уязвимостях Meltdown и Spectre, которым подвержены все современные устройства на базе чипов Intel, стало известно в начале 2018 года. С помощью брешей можно получить полный контроль над устройством жертвы. Так как уязвимость существует на аппаратном уровне, чтобы её устранить, требуется обновить не только операционную систему, но и прошивку устройства.

Microsoft модифицировала бесплатный инструмент Windows Analytics, который теперь с помощью трёхуровневой диагностики проверяет, уязвим ли компьютер к атакам Meltdown и Spectre. Windows Analytics проверяет, совместим ли антивирус ПК с требуемыми обновлениями Windows, установлены ли эти обновления, а также определяет статус прошивки на устройстве.

Windows Analytics доступен для Windows 7 SP1, Windows 8.1 и Windows 10. Чтобы установить бесплатный инструмент, требуется завести аккаунт в облачном сервисе Azure с привязанной банковской картой.

Один отправленный символ может привести к зависанию iPhone

В iOS 11 обнаружена новая уязвимость, с помощью которой можно заставить iPhone зависнуть. Если пользователь отправит определённый символ, то произойдет сбой устройства, который заблокирует доступ к «Сообщениям» и другим популярным мессенджерам iOS. Ошибку обнаружил сайт Mobileworld.it.

 

Суть уязвимости состоит в том, что, если отправить символ языка Телугу, который распространён на территории Индии, на устройство, то приложение iOS Springboard выйдет из строя. iOS Springboard, отвечающее за главный экран iPhone, закроет доступ к сообщениям, пока приложение будет безуспешно пытаться загрузить символ. Команда сайта The Verge протестировала ошибку на таких сторонних приложениях, как Facebook Messenger, WhatsApp, Gmail и Outlook для iOS. Эти приложения также отключаются после получения сообщения. Примечательно, что данная уязвимость не затронула программы Telegram и Skype.

 

Это не первый случай, когда устройства на iOS выходят из строя из-за странных символов, ссылок или даже видео. В прошлом месяце одна ссылка могла остановить работу iPhone, но Apple исправила проблему с выпуском iOS 11.2.5. Ещё в 2015 году крошечная строка текста отключала iMessage, а через год 5-секундное видео выводило из строя iPhone.

Уязвимость «нулевого дня» в Telegram использовалась для многоцелевых атак

«Лаборатория Касперского» сообщает о том, что в популярном в России мессенджере Telegram довольно долго присутствовала так называемая уязвимость «нулевого дня» (0-day), которую злоумышленники использовали для осуществления многоцелевых атак.

Проблема была выявлена в Windows-клиенте Telegram. Схема нападения заключается в использовании классической модели Right-to-Left Override (RLO) при отправке файлов собеседнику. Специальный непечатный символ RLO служит для изменения порядка следующих за ним в строке знаков на обратный. В таблице Unicode он представлен как «U+202E».

Легитимной областью использования RLO, в частности, является набор текста на арабском языке. В случае кибератак применение символа позволяет ввести жертву в заблуждение за счёт «переворачивания» имени файла и (или) его расширения.

В ходе атак на пользователей Telegram злоумышленники рассылали файлы с обработанным специальным образом названием. К примеру, JS-файл мог быть отправлен под именем photo_high_re*U+202E*gnp.js. В этом случае символ RLO заставит мессенджер перевернуть символы gnp.js. В результате, получателю придёт файл photo_high_resj.png, то есть PNG-картинка. При попытке просмотра такого «изображения» может быть выполнен вредоносный код.

Отмечается, что злоумышленники использовали несколько сценариев эксплуатации уязвимости. Это, в частности, атаки с целью получения контроля над системой жертвы и нападения с целью внедрения майнингового ПО. Подробности можно найти здесь.

«Лаборатория Касперского» говорит, что об уязвимости было известно, похоже, только злоумышленникам из России, так как все обнаруженные случаи эксплуатации происходили именно в нашей стране.

«Мы не обладаем точной информацией о том, как долго и в каких версиях была открыта уязвимость, но, со своей стороны, можем отметить, что случаи эксплуатации начались в марте 2017 года. Мы уведомили разработчиков о проблеме, и на сегодняшний день уязвимость не проявляется в продуктах Telegram», — отмечается в сообщении. 

В 2017 году Google выплатила исследователям безопасности $3 млн

Крупные технологические компании поддерживают программы по вознаграждению исследователей безопасности за обнаруженные уязвимости. В прошлом году корпорация Google выплатила исследователям и хакерам $2,9 млн.

Вознаграждения за обнаруженные уязвимости могут варьироваться от $500 до $100 000 или более, в зависимости от типа уязвимости и объёма затраченного времени. В компании Google действуют две основные программы: Vulnerability Research Grants Program и Patch Rewards Program. В 2017 году в рамках первой было выплачено $125 000 пятидесяти исследователям по всему миру, а в рамках второй — в общей сложности $50 000. 

Самая большая награда в этом году составила $112 500 за обнаружение уязвимости в телефоне Pixel в рамках Android Security Rewards Program. 

Google — далеко не единственная компания с программой по поиску уязвимостей. Подобные инициативы поддерживают все технологические гиганты, а также такие корпорации, как General Motors, Airbnb и Mastercard.

Хакерам удалось запустить Linux на Nintendo Switch

Группа хакеров fail0verflow поделилась фотографией игровой консоли Nintendo Switch с установленным дистрибутивом Linux Debian. Группа утверждает, что Nintendo не сможет устранить уязвимость будущими обновлениями прошивки.

По данным fail0verflow, уязвимость присутствует в загрузочном ПЗУ (Boot ROM) системы NVIDIA Tegra X1, к которому консоль обращается при запуске. Даже если Nintendo выпустит обновление ПО, оно не затронет загрузочное ПЗУ. А поскольку система исполняет инструкции, заложенные в Boot ROM, сразу после нажатия кнопки питания, обойти это невозможно.

Единственный способ исправить ситуацию — выпустить новые чипы NVIDIA Tegra X1. Скорее всего, для нового поколения или даже партии Switch компания NVIDIA предоставит чипы без уязвимости.

Если fail0verflow выложит детали эксплойта в Сеть, то это теоретически позволит когда-нибудь запускать на Switch пиратские игры или использовать его в целях, не предусмотренных Nintendo.

У АНБ украли эксплойты, с помощью которых якобы можно взломать любую версию Windows

В прошлом году в Агентстве национальной безопасности США были украдены важные данные, в частности, эксплойты уязвимостей. Предполагалось, что украденные тогда инструменты для взлома предназначались для более ранних версий Windows. Недавно на сайте BetaNews появилась информация о том, что теперь они могут потенциально повлиять на все операционные системы Microsoft, начиная с Windows 2000.

Некоторые из украденных у АНБ эксплойтов были опубликованы в апреле 2017 года хакерской группировкой The Shadow Brokers. Наибольшую известность получил эксплойт EternalBlue, с помощью которого было произведено несколько массовых кибератак, таких как NotPetya, Bad Rabbit и WannaCry. Помимо EternalBlue, было опубликовано ещё несколько украденных эксплойтов, но они не были особенно популярными, потому что поражали только ограниченное количество версий Windows.

Недавно исследователь безопасности, известный как Zerosum0x0, изменил исходный код для некоторых из этих менее известных эксплойтов, в результате чего они могут работать и запускать произвольный код на большинстве актуальных систем.

Исследователь модифицировал три эксплойта: EternalChampion, EternalRomance и EternalSynergy. Они уже входят в состав Metasploit Framework и могут использоваться для взлома даже Windows 10, которая раньше считалась защищенной от украденных у АНБ эксплоитов.

Microsoft устранила уязвимости, о которых идет речь, в последнем обновлении безопасности.

Intel выпустила исправленное обновление микрокода против Spectre для чипов Skylake

Инженеры Intel добились некоторого прогресса в выявлении причин неполадок с заплатками против атак Spectre, связанных с уязвимостями спекулятивных вычислений, активно используемых в современных процессорах для увеличения эффективности расчётов. Компания после тщательного тестирования выпустила исправленное обновление микрокода, которое, впрочем, в настоящее время предназначено только для мобильных и настольных чипов семейства Skylake.

Напомним: в январе Intel выпустила заплатки микрокода против уязвимостей Spectre для своих процессоров Broadwell, Haswell, Skylake, Kaby Lake и Coffee Lake. Вскоре выяснилось, что обновление приводит к сбоям и перезагрузкам систем. Вначале Intel заявила, что проблема касается только чипов Broadwell и Haswell, но позже признала существование сбоев на компьютерах с процессорами Skylake, Kaby Lake и Coffee Lake и рекомендовала партнёрам и пользователям пока воздержаться от установки заплаток.

Новый микрокод уже поступает производителям оборудования, так что они могут на его основе выпускать обновления прошивок BIOS. Стоит подчеркнуть, что пока нет полноценного исправленного обновления микрокода для чипов Broadwell, Haswell, Kaby Lake, Skylake X, Skylake SP или Coffee Lake. Intel отмечает, что в настоящее время ещё ведётся бета-тестирование соответствующих заплаток, так что владельцам таких систем придётся набраться терпения.

В своём обращении Intel подчёркивает, что пользователям весьма важно своевременно устанавливать обновления операционных систем. Согласно исследованиям в области безопасности, часто люди пренебрегают этой необходимостью и устанавливают заплатки с очень большим опозданием. Согласно данным Национального управления кибербезопасности Министерства внутренней безопасности США US-CERT, до 85 % атак можно избежать путём простого своевременного обновления.

Microsoft выпустила исправленную заплатку против Meltdown и Spectre для AMD

Пожалуй, не станет преувеличением сказать, что обнаружение и публичное обнародование информации об уязвимостях современных процессоров, получивших названия Meltdown и Spectre, стали катастрофой. Плохо, что подобный тип атак возможен в принципе, но и исправления привели к целому ряду неприятных побочных эффектов. Пользователи AMD стали одними из самых первых жертв заплаток против Meltdown и Spectre (компьютеры порой просто отказывались загружаться), так что Microsoft отменила развёртывание соответствующих обновлений безопасности для ряда старых чипов. Теперь пришло время следующей попытки.

Microsoft опубликовала третье накопительное обновление для Windows 10 Fall Creators Update (версия 1709) за январь. Помимо прочего оно устраняет проблемы, выявленные в заплатке для чипов AMD от 3 января. Тогда Microsoft заявила, что работает с AMD для решения возникших проблем и постарается как можно скорее выпустить исправленные обновления для уязвимых компьютеров с чипами AMD через Windows Update и WSUS.

В дополнение к заплаткам для владельцев систем с процессорами AMD в KB4056892 присутствуют и другие исправления:

  • цвета искажались при подключении системы к дисплеям, поддерживающим широкую цветовую гамму;
  • второй монитор, подключённый к устаревшим адаптерам AMD, мерцал после пробуждения от сна;
  • устранены задержки при переключении языков клавиатуры с помощью Alt + Shift;
  • возникали проблемы при отображении определённых закрытых подписей или форматов субтитров во время воспроизведения видео;
  • настройка групповой политики Microsoft Edge Allow Extension в режиме отключения не срабатывала;
  • дополнительная защита для 32-битных (x86) версий Windows 10 1709.

KB4056892 обновляет Windows до сборки 16299.192, может быть скачано и установлено автоматически. Но если по какой-то причине необходима загрузка заплатки вручную, её можно найти на официальном сайте. Теперь исправленных обновлений против Meltdown и Spectre осталось дождаться владельцам систем с процессорами Intel.

Специалисты по кибербезопасности бьют тревогу в связи с Meltdown и Spectre

2018 год начался неважно для IT-индустрии: широкой общественности (а значит и преступности) стало известно об архитектурных уязвимостях, которые затрагивают в той или иной степени почти все современные процессоры, оснащённые блоком предсказания ветвлений, и в теории позволяют злоумышленникам получить доступ к защищённым данным. Уязвимости, ставшие известными широкой общественностью под именами Meltdown и Spectre (в девичестве: CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754), характерны, например, почти для всех процессоров Intel, выпущенных за последние 20 с лишним лет.

Усложняет ситуацию и то, что выпущенные уже заплатки не только в той или иной степени замедляют системы, но и приводят к нестабильности, над чем участники рынка работают сейчас не покладая рук. И хотя в своих заявлениях относительно проблемы ведущие компании постоянно подчёркивают, что пока им неизвестны успешные случаи использования этих методов атак злоумышленниками, такая ситуация, похоже, продлится недолго. И об этом, по мнению специалистов из компании Fortinet по кибербезопасности, следует думать уже сейчас.

Её подразделение FortiGuard Labs отслеживает усилия киберпреступников по разработке новых атак, предназначенных для использования широко известных уязвимостей. Согласно старому отчёту Fortinet Threat Report за второй квартал 2017 года, 90 % организаций сталкиваются с попытками злоумышленников использовать дыры в безопасности, заплатки для которых были выпущены три года назад или ещё раньше. Даже спустя 10 лет после выявления уязвимостей 60 % фирм по-прежнему регистрируют соответствующие атаки.

Частота, с которой киберпреступники пытаются воспользоваться известными уязвимостями, постоянно растёт, а эпидемии эксплойтов WannaCry и NotPetya служат прекрасными примерами необходимости как можно раньше латать уязвимые системы. Вот почему Fortinet начала бить тревогу, недавно узнав об одних из самых масштабных из когда-либо выявленных уязвимостей, затрагивающих практически каждый процессор, разработанный с 1995 года производителями чипов Intel, AMD и ARM.

Другие участники сообщества кибербезопасности тоже обеспокоены: например, с 7 по 22 января исследовательская группа в AV-Test обнаружила 119 новых образцов, связанных с попыткой использовать уязвимости Meltdown и Spectre. FortiGuard Labs проанализировала все общедоступные образцы, что составляет около 83 %, и определила, что все они основаны на опубликованном Google исходном коде с доказательством концепции. Другие 17 процентов не были переданы специалистам, потому что находятся под NDA или недоступны по каким-то иным причинам.

В Fortinet выявлено уже несколько основных образцов зловредов, рассчитанных на Meltdown и Spectre:

  • Riskware/POC_Spectre;
  • W64/Spectre.B!exploit;
  • Riskware/SpectrePOC;
  • Riskware/MeltdownPOC;
  • W32/Meltdown.7345!tr;
  • W32/Meltdown.3C56!tr;
  • W32/Spectre.2157!tr;
  • W32/Spectre.4337!tr;
  • W32/Spectre.3D5A!tr;
  • W32/Spectre.82CE!tr;
  • W32/MeltdownPOC.
График AV-Test показывает экспоненциальный рост обнаруженного вредоносного кода, нацеленного на использования уязвимостей Meltdown и Spectre

График AV-Test показывает рост обнаруженного вредоносного кода, нацеленного на использования уязвимостей Meltdown и Spectre

По мнению Fortinet, одной из ключевых проблем с устранением уязвимостей Meltdown и Spectre — помимо того факта, что затронуты процессоры в сотнях миллионов устройств, работающих в домашних или бизнес-средах — является то, что разработка программного исправления, которое бы надёжно закрыло возможность недобросовестного использования принципа спекулятивных вычислений, чрезвычайно сложна. Intel недавно пришлось рекомендовать не использовать пока заплатки против уязвимостей, потому что они приводят к проблемам перезагрузки и нестабильности.

Поэтому организациям необходимо не только своевременно обновлять свои операционные системы, но и использовать дополнительные экраны безопасности вроде антивирусов, умеющих выявлять новые образцы вредоносного кода.