Теги → meltdown
Быстрый переход

Intel Whiskey Lake включают аппаратные заплатки против Meltdown и Foreshadow

Анонс новейших чипов Intel семейства Whiskey Lake оставил за скобками один очень важный факт: эти процессоры стали первыми потребительскими чипами компании, которые получили аппаратные, на уровне кремния, исправления против уязвимостей Meltdown и Foreshadow. Вначале эту информацию сообщил отраслевой аналитик Ашраф Эасса (Ashraf Eassa) в своём Twitter, а затем журналисты обратились за комментариями к самой Intel.

Представитель компании подтвердил, что чипы Whiskey Lake действительно получили первые аппаратные исправления, но при этом представленные одновременно процессоры Amber Lake их по-прежнему не имеют. В настоящее время заплатки против Spectre и Meltdown на уровне микрокода и ОС, которые разработала Intel, могут снижать производительность на уровень до 10 % (в зависимости от рабочей нагрузки) на последних кристаллах, а на более старых процессорах потери могут быть ещё бо́льшими. Новые заплатки, которые внесены на уровне дизайна микросхемы, должны уменьшить или даже нивелировать влияние на производительность.

Первая волна аппаратных исправлений оказалось довольна ограниченной, но Intel говорит, что со временем будут вноситься всё новые исправления на уровне кристаллов. Процессоры Whisky Lake по-прежнему нуждаются в использовании различных комбинаций программных заплаток для борьбы с большинством вариантов уязвимостей, но зато в них полностью на аппаратном уровне нивелирована опасность атак Meltdown и L1TF Foreshadow.

Ранее считалось, что первыми кристаллами Intel с аппаратными заплатками станут процессоры Cascade Lake для сектора ЦОД — по крайней мере, не так давно компания обнародовала эти данные на мероприятии Hot Chips 2018. Впрочем, Cascade Lake получат более продвинутые аппаратные исправления: например, в них будет защита против Spectre 2, тогда как процессоры Whiskey Lake полагаются против таких атак исключительно на программные заплатки.

Представители Intel уверяют, что со временем такие же средства защиты против Spectre 2 поступят и в дизайн потребительских процессоров. Ограниченный спектр исправлений на уровне кремния говорит о том, что Intel, как и многие другие компании, пострадавшие от этих уязвимостей, все ещё находится на раннем этапе решения проблемы. Не сообщается, включают ли чипы Cascade Lake аппаратные заплатки против L1TF Foreshadow, но это вполне логично.

Так или иначе, появление первых исправлений на уровне кристалла может помочь устранить возможность потенциальных будущих уязвимостей, связанные с принципами работы методов спекулятивных вычислений. Новые варианты, обнаруживаемые и публикуемые с завидной регулярностью, основаны подчас на тех же методах, что Spectre и Meltdown. Intel не раскрывает подробности о природе аппаратных заплаток, видимо, не желая давать козыри злоумышленникам.

Со времени публикации первоначальной информации о трёх видах уязвимостей CPU, связанных со спекулятивными вычислениями (под общим именем Meltdown и Spectre), был раскрыт целый ряд новых аналогичных вариантов атак — например, CVE-2018-3639, BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime, Spectre 1.1 и 1.2, SpectreRSB и L1TF Foreshadow. Исследователи убеждены, что это далеко не полный список и в перспективе будут обнаружены новые виды подобных уязвимостей.

Вполне логично предположить, что и другие новые процессоры Intel, вроде ожидаемых моделей серии 9000, тоже получат аппаратные исправления, но официальных данных на этот счёт пока нет.

Новые патчи против Spectre: Intel «случайно» запретила говорить о побочных эффектах

Как известно, обновления микрокода для процессоров Intel, направленные на закрытие уязвимостей Meltdown и Spectre, а также их производных, приводят к снижению производительности. Теперь же Intel это формально подтвердила, запретив публиковать результаты тестов процессоров после обновления микрокода.

Этот год начался для Intel с обнаружения в её процессорах нескольких крупных уязвимостей, и затем регулярно обнаруживались новые уязвимости. Компания Intel старается максимально оперативно реагировать на всё новые уязвимости в безопасности своих процессоров и выпускать обновления микрокода, которые эти «дыры» закрывают. И очередное обновление микрокода, выпущенное под Linux, помимо «заплаток» принесло и новое лицензионное соглашение.

Кроме прочего в нём говорится, что пользователь не имеет права публиковать результаты тестов или сравнивать их с другими результатами. Получается, что Intel попросту запрещает своим пользователями даже проверять, насколько сильно изменяется производительность процессоров после установки обновлений.

Данное условие к тому же неэтично по отношению к пользователям, причём как в серверном, так и в потребительском сегментах, ведь оно по сути запрещает им оценивать влияние различных обновлений микрокода на производительность своих систем. Возможно, в некоторых странах такое требование и вовсе незаконно.

По всей видимости, Intel опасается за свой имидж, которому явно не пойдёт на пользу информация о снижении производительности после обновлений. Ведь в том, что обновления негативно сказываются на производительности процессоров Intel, сомневаться не приходится. И даже если по отдельности их влияние незначительно, все вместе они вполне могут ощутимо ударить по производительности процессоров. Однако подобное условие в лицензионном соглашении также не красит Intel и явно не скажется положительно на её имидже.

Поэтому уже к моменту публикации данной заметки компания Intel прокомментировала сложившуюся ситуацию. В официальном заявлении говорится, что компания обновит лицензионное соглашение и «решит данную проблему». Новая версия соглашения будет выпущена уже совсем скоро. Также было отмечено, что Intel «является активным участником сообщества открытого программного обеспечения и по-прежнему приветствует все отзывы».

Первые аппаратные заплатки Intel против Spectre — для чипов Cascade Lake

В начале года общественность узнала о существовании в современных процессорах застарелых ошибок, связанных с принципами работы методов спекулятивных вычислений и делающих возможными атаки по сторонним каналам под общими именами Meltdown и Spectre. Теперь Intel на мероприятии Hot Chips 2018 официально объявила о том, что её процессоры Cascade Lake для сектора ЦОД получат аппаратные заплатки против этих уязвимостей и аппаратную поддержку скоростной кеш-памяти Optane в формате DIMM. Подобные же исправления поступят в настольные процессоры, но компания не сообщила пока конкретной информации на этот счёт.

14-нм чипы Cascade Lake будут противостоять процессорам AMD EPYC Rome, которые производится на 7-нм мощностях TSMC. На 2019 год Intel готовит новое семейство Cooper Lake, но и эти серверные процессоры будут выпускать на ещё одной модернизированной версии 14-нм техпроцесса. А 10-нм процессоры Ice Lake доберутся до серверного рынка лишь в 2020 году.

Существующие программные исправления приводят к снижению производительности, которая зависит от рабочей нагрузки, но аппаратные заплатки призваны уменьшить этот негативный эффект. В некоторых задачах производительность может упасть на 10 %, а в нагрузках, связанных с вводом-выводом и с активной работой накопителей — существенно сильнее. Стоит отметить, что в Cascade Lake будут аппаратно закрыты не все уязвимости, связанные со спекулятивными вычислениями.

Intel по-прежнему будет использовать комбинацию прошивки и программного обеспечения для некоторых уязвимостей. Например, для Spectre 1 будут применяться программные заплатки уровня ОС и менеджера виртуальной машины (VMM).  Для Spectre 2 — программно-аппаратные исправления, для Spectre 3 — только аппаратные. Spectre 3a и 4, а также выявленные позднее уязвимости будут требовать заплаток на уровне прошивки, ОС и VMM. Впрочем, аппаратные новшества могут быть полезны и для борьбы против других атак, связанных со спекулятивными вычислениями. Intel не раскрывает подробности о природе аппаратных заплаток, видимо, не желая давать козыри потенциальным злоумышленникам.

Процессоры Cascade Lake наследуют основные элементы дизайна семейства чипов Xeon Scalable: до 28-ядер (56 потоков), до 38,5 Мбайт кеша L3, новый интерфейс UPI (Ultra Path Interface), до шести каналов памяти, поддержка AVX-512 и до 48 линий PCIe. И да, они совместимы с той же контактной площадкой, что и существующие процессоры, так что обновление будет относительно простым.

Помимо аппаратных заплаток против Meltdown и Spectre главное новшество — использование улучшенного 14-нм++ техпроцесса. Intel заявляет, что обновлённые нормы печати кристаллов позволили ей повысить частоты, снизить энергопотребление и ввести целенаправленные улучшения в критически важных скоростных показателях чипа.

Intel также добавила поддержку новых инструкций VNNI (Vector Neural Network Instructions), которые оптимизируют работу с мелкими типами данных, обычно используемыми в процессах машинного обучения и принятия решений. Инструкции VNNI объединяют три команды в одну для повышения производительности Int8 (VPDPBUSD) и две инструкции — для увеличения скорости Int16 (VPDPWSSD).

Современные процессоры Intel Xeon Scalable не поддерживают высокоскоростную постоянную память 3D XPoint в формате модулей DIMM. Эти скоростные накопители под маркой Optane предназначены для установки в интерфейс DRAM, как обычные модули ОЗУ, но выпускаются ёмкостью 128, 256 и 512 Гбайт. Они позволяют сделать большой скачок в производительности ряда зависимых от скорости накопителей задач.

Смартфоны Samsung Galaxy S7 оказались уязвимы к атакам Meltdown

Популярные смартфоны Samsung Galaxy S7 содержат уязвимость в чипе, обнаруженную ещё в начале этого года, что ставит под удар десятки миллионов устройств, которые могут быть взломаны злоумышленниками — об этом исследователи из Технического университета в Граце (Австрия) сообщили журналистам Reuters. Речь идёт о пресловутой уязвимости Meltdown, которая, как считалось, не затрагивает ARM-чипы, используемые в Galaxy 7 и других смартфонах Samsung.

Reuters

Reuters

Команда исследователей собирается обнародовать свои выводы в среду на конференции по безопасности Black Hat в Лас-Вегасе. Специалист Майкл Шварц (Michael Schwarz) сказал, что они изучают влияние Meltdown и на другие модели смартфонов и ожидают, что в ближайшем будущем обнаружат больше уязвимых устройств.

«Возможно, уязвимостью затронуто гораздо больше смартфонов, о которых мы пока не знаем, — подчеркнул он. — Теоретически речь идёт о сотнях миллионов аппаратов, которые подвержены атакам Meltdown, и проблема не может быть исправлена, потому что производители до сих пор о ней не знают».

Samsung заявила, что выпустила заплатки в январе и июле, чтобы защитить телефоны Galaxy S7 от Meltdown. «Samsung очень серьёзно относится к безопасности, и при разработке продуктов и услуг приоритет всегда отдаётся безопасности», — сказал корейский производитель в своём заявлении. Представительница Samsung поспешила отметить, что до сих пор не было доказанных случаев, когда Meltdown использовался бы для атаки на Galaxy S7 и что ничего не известно об уязвимости других смартфонов Samsung.

reuters

Reuters

Meltdown и схожая уязвимость Spectre эксплуатируют особенности работы механизма спекулятивных вычислений современных процессоров и могут быть использованы для доступа к защищённым областям кеш-памяти CPU. Пока нет громких случаев взлома с использованием подобных атак, вариантов которых обнаружено уже более десятка. Тем не менее, производители вынуждены выпускать заплатки, которые нередко сказываются на производительности системы.

Согласно данным исследовательской фирмы Strategy Analytics, Galaxy S7 в настоящее время используется примерно 30 миллионами человек.

Обнаружена ещё одна Spectre-подобная уязвимость чипов Intel

Не зря специалисты назвали ключевые уязвимости современных CPU, связанные со спекулятивными вычислениями, именем Spectre — эти призраки, похоже, ещё долго будут бродить по миру и терзать IT-индустрию. По крайней мере, корпорация Intel выплатила $100 тысяч за выявление очередной уязвимости её процессоров, связанной с утечками важных данных и близкой к Spectre 1 (CVE-2017-5753 или bounds check bypass — обход проверки границ).

Эта внушительная цифра выплат была обнародована через платформу поиска уязвимостей Hacker One и почти сразу привлекла внимание наблюдателей в области безопасности. Затем в Twitter было дано пояснение, что речь идёт о новой уязвимости процессоров Intel, которой был присвоен идентификатор CVE-2018-3693.

Стало также известно, что Intel поблагодарила Владимира Кирианского (Vladimir Kiriansky) из Массачусетского технологического института и Карла Вальдспургера (Carl Waldspurger) из Carl Waldspurger Consulting за сообщение о проблеме и координированную работу с индустрией по раскрытию информации о новой уязвимости. Чуть позже была опубликована и работа этих исследователей.

Согласно документу, на самом деле специалисты выявили две новых вариации первоначальной уязвимости Spectre 1. Они назвали их Spectre1.1 и Spectre1.2, однако именно Spectre 1.1, похоже, является наиболее проблемной, получившей собственный номер CVE. Исследование было проведено ещё в феврале 2018 года. Сейчас Intel уже обновила документацию по Spectre, включив в неё как описание нового варианта атаки, так и способы программной борьбы с ним.

Директор Oracle по обеспечению безопасности Эрик Морис (Eric Maurice) подтвердил, что его фирма обдумывает собственные программные заплатки. «Сегодня было заявлено о новой уязвимости процессоров. Уязвимость CVE-2018-3693 («Bounds Check Bypass Store» или BCBS) тесно связана с Spectre 1, — отметил он. — Как и в предыдущих вариациях Spectre и Meltdown, Oracle активно взаимодействует с Intel и другими отраслевыми партнёрами для разработки технических исправлений против этого варианта атаки CPU».

Господин Морис отметил, что новые варианты уязвимостей, использующие те же принципы, что и Spectre или Meltdown, весьма вероятны, ожидаемы и наверняка будут выявлены в обозримом будущем. «К счастью, условия использования этих архитектурных проблем остаются одинаковыми: злоумышленники вначале должны получить привилегии, необходимые для установки и исполнения вредоносного кода на целевых системах», — подчеркнул он.

Исследователи выразили убеждение, что проблема с перекрытием спекулятивных буферов Spectre1.1 может быть полностью исправлена аппаратными средствами. По их словам, будущие чипы полностью закроют возможность подобных методов атак без особого влияния на производительность.

Стоит отметить, что ещё не было обнаружено вредоносного ПО, производящего успешные атаки с помощью дыр Spectre и Meltdown, не говоря уже о различных новых вариантах. То же касается и Spectre-подобных методов, которые были выявлены с января (CVE-2018-3639, BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime). Просто заплатки уже достаточно широко установлены, что сильно усложняет атаки; вдобавок последние крайне сложны в использовании и не стоят затрачиваемых усилий, ведь существует множество более простых ошибок, дающих возможность повысить привилегии зловреда и использовать их для доступа к ядру или другому защищённому ПО.

Официальное заявление корпорации Intel об обнаруженной уязвимости:

«Мы продолжаем работать вместе с исследователями по безопасности, партнёрами и участниками академического сообщества над тем, чтобы защитить наших заказчиков от новых угроз безопасности, и, по мере возможности, мы стараемся упростить публикацию новой информации о безопасности, а также соответствующих рекомендаций для наших партнеров по отрасли и для заказчиков. С учётом этого сегодня мы публикуем подробности об устранении целого ряда потенциальных проблем, в том числе о разновидности уязвимости Variant1, получившей название Bounds Check Bypass Store, по которой уже были опубликованы соответствующие рекомендации для разработчиков. Дополнительная информация опубликована на соответствующей странице нашего сайта, посвящённой безопасности продуктов. Защита данных наших заказчиков и обеспечение безопасности наших продуктов является для Intel одним из ключевых приоритетов».

Реакция Intel, ARM и AMD на новую Spectre-подобную уязвимость

Недавно специалисты по безопасности из Microsoft и Google сообщили об очередной выявленной ещё в ноябре 2017 года аппаратной уязвимости современных процессоров, использующих блоки спекулятивных вычислений. Какова же реакция Intel, AMD и ARM на неутешительную новость об обнаружении Spectre-подобной уязвимости CVE-2018-3639 (вариант 4)?

«Вариант 4 использует принципы спекулятивного исполнения команд, общий для большинства современных процессорных архитектур и позволяет получать доступ к определённым видам данных через сторонние каналы», — отметила исполнительный вице-президент Intel по безопасности продуктов Лесли Калбертсон (Leslie Culbertson).

«В данном случае исследователи продемонстрировали Вариант 4 в среде исполнения кода на определённом языке. Хотя мы не знаем об успешном использовании браузеров, наиболее распространённый пример такого рода — это исполнение кода JavaScript в веб-обозревателях. Начиная с января большинство ведущих браузеров уже получили заплатки для Варианта 1 в их средах исполнения — обновления существенно увеличивают сложность использования атак по сторонним каналам в веб-браузере. Они также применимы к Варианту 4 и уже доступны для потребителей сегодня», — добавила она.

По словам госпожи Калбертсон, Intel и другие компании будут выпускать новые версии микрокода и программные заплатки для более эффективного противодействия зловредам, использующим четвёртый вариант атаки. Эти заплатки сейчас тестируются производителями компьютеров и устройств. Интересно, что они будут отключены по умолчанию при распространении среди потребителей — по-видимому, потому что риск успешной атаки крайне низок и защита против неё не стоит падения производительности. Это очень сложная уязвимость, которую можно закрыть, но при этом крайне тяжело использовать. Ещё одна причина отключения заплаток по умолчанию может скрываться в потенциальных проблемах со стабильностью систем с ранними версиями обновлений против Spectre.

Лесли Калбертсон добавила: «Мы уже передали OEM-производителям и поставщикам системного ПО предварительное тестовое обновление микрокода против Версии 4 — в ближайшие недели будут выпущены финальные варианты заплатки, которые начнут развёртываться в новых версиях BIOS и обновлениях ОС. Эта заплатка будет отключена по умолчанию, предоставляя клиентам возможность включить её. Мы ожидаем, что большинство отраслевых партнёров по программному обеспечению тоже будут отключать исправление по умолчанию. В этой конфигурации мы не заметили влияния на производительность. Если же заплатка активирована, мы наблюдали снижение производительности на 2–8 процентов на основе средних оценок в тестах вроде SYSmark 2014 SE и SPEC, для клиентских и серверных систем».

Пресс-секретарь ARM тоже прокомментировал ситуацию: «Этот последний вариант Spectre затрагивает небольшое количество ядер ARM семейства Cortex-A и исправляется с помощью встроенного обновления прошивки, которое можно найти на нашем веб-сайте. Как и в предыдущих опубликованных вариантах Spectre, последний может быть задействован только в том случае, если особый тип вредоносного ПО исполняется непосредственно на клиентском устройстве. ARM настоятельно рекомендует, чтобы пользователи соблюдали общие правила безопасности против вредоносного ПО и старались вовремя обновлять своё программное обеспечение».

ARM также сообщила, что к июлю этого года выпустит обновлённые схемы однокристальных систем на базе ядер Cortex-A72, Cortex-A73 и Cortex-A75, которые будут аппаратно устойчивы ко второму варианту Spectre, а Cortex-A75 также получит обновление против Meltdown (вариант 3).

Представитель AMD рассказал об исправлениях на уровне ОС: по сути, некоторые ключевые регистры нуждаются в настройке, чтобы противостоять атакам по Варианту 4: «AMD рекомендует установить заплатки против SSB [the speculative store bypass] через обновления операционной системы для процессоров семейства 15 (продукты с архитектурой Bulldozer). Для получения подробной информации ознакомьтесь с технической документацией AMD. Microsoft завершает окончательное тестирование и проверку специфических для AMD обновлений для клиентских и серверных операционных систем Windows, которые, как ожидается, будут развёрнуты через стандартный процесс обновления. Аналогичным образом, дистрибуторы Linux разрабатывают обновления операционной системы против SSB. AMD рекомендует следовать указаниям от конкретных поставщиков ОС. Исходя из сложности использования уязвимости, AMD и наши партнёры по экосистеме в настоящее время рекомендуют использовать настройку по умолчанию».

Red Hat опубликовала важное руководство по четвёртому варианту, рассказав о его воздействии и принципах работы. VMware также предлагает комментарии и обновления, как и Xen Project.

Стоит отметить, что до сих пор не было обнаружено вредоносных программ, производящих успешные атаки с помощью дыр Spectre и Meltdown, не говоря уже о последнем четвёртом варианте. То же касается и различных Spectre-подобных методов, которые были выявлены с января (BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime). Это обусловлено либо тем, что заплатки уже достаточно широко установлены, что делает атаки в значительной степени бесплодными; либо же такие сложные атаки просто не стоят затрачиваемых усилий, поскольку существует множество более простых ошибок, позволяющих повысить привилегии зловреда и использовать их для доступа к ядру и другим приложениям. Для повышения эффективности борьбы с Meltdown и Spectre Intel предложила использовать мощности графических ускорителей для сканирования физической памяти во время простоя и выявления программных уловок.

В целом же все выявленные аппаратные ошибки безопасности, связанные с принципом спекулятивных вычислений, дают представление о том, что годами полупроводниковая индустрия концентрировала усилия на повышении производительности, уделяя куда меньше внимания механизмам защиты памяти.

Microsoft и Google обнаружили четвёртую уязвимость класса Meltdown-Spectre

Исследователи из Microsoft и Google обнаружили четвёртый вариант уязвимости современных процессоров класса Meltdown-Spectre, позволяющий несанкционированно получать доступ к данным. Эти ошибки спекулятивного исполнения команд в теории могут быть использованы вредоносным ПО, запущенным на уязвимом устройстве или компьютере, или злоумышленником, зарегистрированным в системе, для постепенного получения секретов (например, паролей) из защищённого ядра или памяти приложения.

Ранее были известны три основных варианта таких атак. Spectre — это название двух уязвимостей: вариант 1 или CVE-2017-5753 (обход проверки границ) и вариант 2 или CVE-2017-5715 (целевое внедрение в ветвь). Вариант 3 назывался Meltdown или CVE-2017-5754 (загрузка в кеш мошеннических данных).

Теперь исследователи рассказали о варианте 4 (CVE-2018-3639). Он затрагивает современные процессорные ядра, поддерживающие исполнение команд с изменением последовательности от Intel, AMD, ARM, а также процессоры IBM Power 8, Power 9 и System z. Следует помнить, что ядра ARM применяются во всём мире в смартфонах, планшетах и встраиваемой электронике.

Четвёртый вариант уязвимостей может быть в теории использован даже скриптами, запущенными внутри программ — например, с помощью кода JavaScript на веб-странице на вкладке браузера — для похищения конфиденциальной информации из других частей приложения (например, личных данных с другой вкладки).

Исправления, уже выпущенные против варианта 1, который является самой трудной для исправления уязвимостью, должны сделать атаки с применением варианта 4 намного сложнее. Другими словами, веб-браузеры и аналогичные программы с исполнением скриптов и другого внешнего кода, защищённые от атак Spectre 1, одновременно должны ослаблять результативность атак по варианту 4. На данный момент о реальном вредоносном ПО, которое бы задействовало вариант 4, ничего не известно.

Специалистами по безопасности, кстати, была также раскрыта ещё одна ошибка CVE-2018-3640: это мошенническое считывание системного реестра, позволяющее обычным программам получать доступ к флагам состояния оборудования — например, к регистрам, которые должны быть в идеальном мире доступны только ядру операционной системы, драйверам и гипервизорам.

Вариант 4 также называется Speculative Store Buffer Bypass и связан со спекулятивным исполнением подходящих по мнению процессорной логики команд в те моменты, когда текущие инструкции занимаются сохранением данных в медленную память. Современные CPU не желают простаивать и используют это время для ускорения работы, что серьёзно отражается на быстродействии.

Этот метод спекулятивных вычислений подразумевает перенос данных в кеш-память первого уровня. Именно на основе анализа этих остаточных данных в кеше вредоносная программа, повторяя процедуру снова и снова, может извлекать критически важную информацию. Название Spectre вполне подходит этому методу, который в чём-то похож на наблюдение за призраком.

Вариант 4 был обнаружен ещё в ноябре 2017 года совместными усилиями Янна Хорна (Jann Horn) из команды Google Project Zero и Кена Джонсона (Ken Johnson) из Microsoft. Поэтому у производителей было достаточно времени, чтобы разработать средства борьбы с уязвимостью. Сообщается, что программные заплатки против этого метода приведут к очередной деградации производительности на значение до 8 % (в перспективе за счёт оптимизаций планируется снизить урон).

Заплатка Windows 7 против Meltdown открывает опасную уязвимость

Январские и февральские исправления Microsoft остановили ошибку Meltdown, которая позволяла с помощью изощрённых методов получать пароли из защищённой памяти. Однако исследователь безопасности Ульф Фриск (Ulf Frisk) обнаружил, что исправления открыли гораздо худшую ошибку ядра, которая позволяет любому процессу читать и записывать в любое место памяти ядра.

По словам специалиста, проблема затрагивает только 64-битные операционные системы Windows 7 x64 и Windows Server 2008 R2. Он утверждает, что две заплатки ошибочно устанавливали бит в трансляторе виртуальной-физической памяти, известном как PLM4 (карта страниц четвёртого уровня), что в итоге позволяет пользовательскому приложению обращаться к таблицам страниц ядра.

Модуль управления памятью процессора (MMU) Intel использует эту базу 4-уровневой иерархии таблиц страниц для трансляции виртуального адреса процесса в адрес физической памяти ОЗУ. Правильно установленный бит обычно гарантирует, что ядро имеет эксклюзивный доступ к этим таблицам — в обычных условиях пользователю они недоступны.

В результате, по словам господина Фриска, ошибка делает предельно лёгкой задачу доступа к физической памяти, поскольку в Windows 7 таблица страниц PML4 находится на фиксированном адресе памяти (в Windows 10 адрес случаен). Эта ситуация означает, что злоумышленник также сможет без труда найти таблицу страниц Windows 7, которая доступна всем пользовательским приложениям.

В результате эксплоиту не нужно делать никакой лишней работы — можно просто считывать уже сопоставленную память нужного процесса, если только физическая память дополнительно не защищена расширенными страницами таблиц (EPT), используемыми для виртуализации. Microsoft, кстати, уже исправила ошибку в мартовском обновлении безопасности, переназначив бит разрешения PML4 в правильное значение. Поэтому всем пользователям Windows 7 и Windows Server 2008 R2 рекомендуется немедленно обновиться. Windows 10 и Windows 8.1 не были затронуты проблемой.

Исследователи обнаружили ещё одну Spectre-подобную атаку BranchScope

Команда учёных из четырёх университетов США обнаружила новый вариант атаки по сторонним каналам (side-channel attack), которая использует особенности спекулятивного исполнения в современных процессорах для извлечения важных данных из процессоров пользователей. По сути речь идёт об ещё одном варианте Meltdown- и Spectre-подобных атак, о которых общественность узнала в самом начале года.

Впрочем, специалисты в своём исследовании отмечают, что в отличие от предыдущих уязвимостей, их метод атакует новую секцию процесса спекулятивного исполнения команд. Уязвимость получила имя BranchScope, потому что наиболее сходна со Spectre CVE-2017-5715 (branch target injection — целевое внедрение в ветвь).

BranchScope позволяет злоумышленникам направить конвейер спекулятивных расчётов по нужному им пути для получения доступа к определённым областям памяти процессора и извлечения данных, доступа к которым в нормальных условиях у них нет. Уязвимость в целом работают похоже с CVE-2017-5715, но последняя нацелена на атаку буфера адресов ветвлений (Branch Target Buffer), который является компонентом кеша для операций прогнозирования ветвлений. В свою очередь BranchScope атакует предсказатель направленного ответвления (directional branch predictor) — процесс, который решает, какие спекулятивные операции выполняются.

Учёные отмечают, что BranchScope — первая атака по сторонним каналам, которая нацелена непосредственно на предсказатель ветвлений, и что она может использоваться в том числе для извлечения содержимого, хранящегося в анклавах SGX, наиболее защищённых областях процессоров Intel. Исследовательская группа уже успешно проверила свой метод и доказала, успешное извлечение данных из последних чипов Intel, включая Sandy Bridge, Haswell и Skylake. Команда заявила, что атака может быть запущена из пользовательского пространства (без прав администратора) и имеет коэффициент ошибок менее 1 %.

Специалисты также заявили, что поскольку речь идёт о новой атаке, в настоящее время нет никаких заплаток против BranchScope, а исправления против Spectre неэффективны. Впрочем, по их словам, закрыть уязвимость можно как аппаратными, так и программными средствами. Но в своём заявлении Intel утверждает обратное:

«Мы работаем с этими исследователями и определили, что метод, который они описывают, аналогичен ранее известным вариантам атак по сторонним каналам. Мы ожидаем, что существующие программные исправления для известных уязвимостей такого рода, такие как использование криптографии с защитой от стороннего канала, будут также эффективны против метода, описанного в этом документе. Мы считаем, что тесное партнёрство с исследовательским сообществом является одним из лучших способов для защиты клиентов и их данных, и высоко ценим работу этих исследователей».

Помимо Meltdown, Spectre и теперь BranchScope, недавно были обнаружены и другие варианты атак по сторонним каналам: SgxSpectre, MeltdownPrime и SpectrePrime.

Intel выпустила обновление микрокода против Spectre для Ivy Bridge и Sandy Bridge

Инженеры Intel продолжают засучив рукава трудиться над исправлением проблемы аппаратных уязвимостей процессоров компании, известной под именами Spectre и Meltdown. Впервые ещё в январе производитель выпустил помимо прочих заплаток обновления микрокода против Spectre для своих процессоров с архитектурами Broadwell, Haswell, Skylake, Kaby Lake и Coffee Lake. Но всё оказалось несколько сложнее — заплатки приводили к сбоям и перезагрузкам компьютеров, так что в итоге Intel рекомендовала партнёрам и пользователям воздержаться от установки заплаток до их доработки.

Затем компания стала более размеренно выпускать такие обновление начиная с самых актуальных процессоров и спускаясь всё дальше в прошлое — планируются заплатки для CPU вплоть до различных 45-нм решений. После ряда обновлений для Skylake, Kaby Lake, Coffee Lake, Broadwell и Haswell, выпущенных после тщательного тестирования и обкатки, дошла очередь и до архитектур Ivy Bridge и Sandy Bridge.

Компания выпустила обновления микрокода не только для настольных вариантов этих чипов, но и для различных их серверных версий, а также для некоторых вариантов Haswell, которые не были затронуты прошлыми заплатками. Напомним: обновление микрокода требуется для борьбы с вариантом Spectre CVE-2017-5715 (целевое внедрение в ветвь). Теоретически на его основе для конечных потребителей могут быть выпущены новые версии прошивок BIOS (впрочем, микрокод может загружаться и при старте ОС).

Теперь все ждущие исправлений чипы относятся к поколениям старше Sandy Bridge: речь идёт, например, о 32-нм Westmere (первый 6-ядерный CPU на базе Nehalem), 4-ядерных Nehalem (Bloomfield, Lynnfield), а также различных мобильных процессорах вроде 32-нм Arrandale и Clarkdale. Вслед за исправлением всего семейства Nehalem, Intel приступит к выпуску нового микрокода и для некоторых ещё более старых процессоров Core 2 Quad и Core 2 Duo, хотя эти заплатки всё ещё находятся на ранних стадиях тестирования.

Отрадно видеть, что компания преодолела начальные трудности и выпускает обновления на регулярной основе. Это важно, учитывая тот факт, что Spectre — очень вредная уязвимость. Она, например, может быть использована даже для доступа к данным, хранящимся в защищённых областях Intel SGX (Software Guard Extensions). Другими словами, обновления против Spectre и Meltdown по сути обязательны для всех, кто минимально заботится о неприкосновенности информации и своих паролей, хотя в некоторых задачах они могут приводить к существенному снижению производительности, особенно на относительно старых CPU.

Для множества устаревших материнских плат производители могут никогда и не выпустить новых версий BIOS, включающих свежие версии микрокода. Однако Microsoft время от времени представляет обновления Windows, включающие такие заплатки — в качестве примера можно привести KB4090007, выпущенную в конце февраля. Пока не ясно, будет ли Microsoft выпускать такие исправления для Haswell и более старых чипов.

О прогрессе инженеров Intel в деле выпуска новых версий микрокода можно следить в особом официальном документе, который постоянно обновляется.

Новый вариант атаки Spectre позволяет извлекать данные из защищённых областей Intel SGX

Новый вариант атаки Spectre на процессоры Intel можно использовать для взлома анклавов (защищённых областей исполнения) Software Guard Extensions (SGX) и просмотра их содержимого. Так называемая атака по сторонним (или побочным) каналам SgxPectre влияет на программы с повышенным уровнем защиты на базе Intel SGX.

Команды Intel SGX поддерживаются в платформах на базе настольных процессоров Core 7-го поколения и серверных Xeon E3 v5 и выше. Intel разработала технологию для защиты исходного кода и данных от несанкционированного доступа и изменения. Особенно важные части приложения могут быть помещены разработчиками в такой защищённый анклав с помощью специальных команд и SDK и в теории должны быть защищены от системного ПО, включая гипервизоров и ОС. Недавно Microsoft начала поддерживать SGX в своей облачной платформе Azure, что позволяет разработчикам защищать данные от недобросовестных сотрудников в своих ЦОД.

Как объясняют исследователи из Университета штата Огайо в документе, подробно описывающем SgxPectre, атаки Meltdown и Spectre на процессоры поднимают вопросы относительно устойчивости SGX к ним. Судя по выкладкам, технология уязвима, и эту проблему так же сложно исправить. Злоумышленник, использующий SgxPectre, может, как сообщается, полностью нарушить конфиденциальность SGX-анклавов и узнать содержимое защищённой области памяти.

Атака фокусируется на двух аппаратных функциях процессоров Intel, которые предназначены для повышения производительности посредством спекулятивных вычислений. К ним относятся предсказание ветвлений кода анклава, чем можно манипулировать с помощью кода вне анклава и неявное кеширование памяти, вызванное спекулятивно исполненными инструкциями. По словам разработчиков, сейчас уязвимостям подвержен любой код, созданный с помощью Intel SDK.

С атакой можно бороться с помощью IBRS (Indirect Branch Restricted Speculation), которая является одним из исправлений, вносимых Intel в обновления микрокода своих чипов против Spectre CVE-2017-5715 (целевое внедрение в ветвь). Но поскольку обновление микрокода может быть не применено или отменено злоумышленником, разработчикам, полагающимся на SGX в облаке, придётся проверять номер версии безопасности процессора во время удалённого подключения.

Исследователи выпустили инструмент сканирования уязвимостей для поиска проблемных шаблонов кода и планируют в будущем опубликовать открытые исходные коды эксплойтов SgxPectre. Intel обещает, что исправлений Spectre и Meltdown в сочетании с обновлением SGX SDK, которое выйдет 16 марта, будет достаточно для преодоления проблемы. Полное заявление журналистам ZDNet:

«Мы знаем об исследовании университета штата Огайо и ранее публиковали в Сети информацию и рекомендации о том, как на Intel SGX могут влиять уязвимости анализа побочных каналов. Мы ожидаем, что существующие исправления для Spectre и Meltdown в сочетании с обновлённым инструментарием разработки ПО для поставщиков приложений SGX, который мы планируем выпустить 16 марта, будут эффективны против методов, описанных в этом исследовании. Мы рекомендуем клиентам убедиться, что они всегда используют самые последние версии наборов инструментов».

Intel выпустила обновление микрокода против Spectre для Broadwell и Haswell

Проблема аппаратных уязвимостей современных процессоров, известная под именами Spectre и Meltdown, похоже, долгое время будет беспокоить производителей и пользователей. Ещё в январе Intel помимо прочих заплаток выпустила обновления микрокода против Spectre для своих процессоров с архитектурами Broadwell, Haswell, Skylake, Kaby Lake и Coffee Lake. Но всё оказалось не так просто — заплатки приводили к сбоям и перезагрузкам систем.

В итоге Intel рекомендовала партнёрам и пользователям воздержаться от установки заплаток до их доработки. В начале февраля был представлен исправленный вариант микрокода для мобильных и настольных потребительских чипов семейства Skylake. Позже вышли новые версии микрокода для Kaby Lake, Coffee Lake, а также ряда незатронутых предыдущим обновлением Skylake-базированных платформ.

Теперь компания выпустила переработанные заплатки для более старых архитектур Broadwell и Haswell. Эти обновления доступны для всех семейств с указанными архитектурами, кроме Broadwell Server EX и Haswell Server EX, которые всё ещё находятся в стадии бета-тестирования. Поддерживаются процессоры Xeon и Intel Core i, включая Broadwell H 43e и Broadwell U и Y.

Напомним: обновление микрокода требуется для борьбы с вариантом Spectre CVE-2017-5715 (целевое внедрение в ветвь). Теоретически на их основе для конечных потребителей будут выпущены новые версии прошивок BIOS. Работа над обновлениями микрокода для других процессоров продолжается. В частности, заплатки для семейства Intel Sandy Bridge и Ivy Bridge пребывают в состоянии бета-теста. Точно так же, хотя большая часть чипов Skylake получила обновления, микрокод Skylake Xeon E3 остаётся в статусе беты. В опубликованном ранее документе, Intel расписала планы по выпуску исправлений микрокода для других своих продуктов, начиная с 45-нм чипов вроде Core 2.

Intel на этой неделе также объяснила государственным органам США, почему она не сообщила Координационному центру CERT Департамента национальной безопасности страны о проблеме до того, как Google обнародовала информацию о Meltdown и Spectre вслед за утечкой через издание The Register. Отвечая на вопросы Комитета Палаты представителей США по энергетике и торговле, Intel заявила, что была намерена проинструктировать правительство до запланированного публичного раскрытия 9 января, но планы были сорваны из-за утечки информации раньше срока.

«Компьютерная команда экстренной готовности США (US-CERT) была впервые проинформирована об этих уязвимостях посредством публичного раскрытия информации 3 января 2018 года. Intel оперативно обсудила это разглашение с US-CERT в тот же день и снова двумя днями спустя, 5 января 2018 года», — сказано в сообщении. Intel также заявила, что с момента обнаружения потенциальных уязвимостей и до их обнародования, информацией о них обменивалась только с Google, Apple, Microsoft и ARM, что вполне соответствует отраслевым стандартам реагирования на подобные инциденты.

Microsoft выпустила прошивку для Surface Pro 3 против Spectre

Обнаруженные специалистами Google Project Zero уязвимости Meltdown и Spectre, вызванные аппаратными особенностями работы блока предсказания ветвлений в современных процессорах, стали большой проблемой для индустрии. Они требуют обновления не только операционных систем, но также драйверов, браузеров, компиляторов, антивирусов и даже микрокода.

Вслед за выпуском Intel обновлений микрокода для её последних процессоров ряд производителей стали предлагать свежие прошивки. В частности, Microsoft представила соответствующее обновление для планшетов Surface Pro 3 — по словам производителя, UEFI 3.11.2350.0 призвано закрыть потенциальные дыры в безопасности, включая Meltdown и Spectre.

Владельцы Surface Pro 3 могут установить обновление для своего устройства через процедуру Windows Update или вручную загрузить его из раздела драйверов и прошивок на официальном сайте Microsoft. Любопытно, что планшет Surface Pro 3 оснащался в своё время процессорами с архитектурой Haswell, а Intel ещё официально не выпустила исправленное обновление микрокода для этих чипов. Видимо, Microsoft уже вполне уверена в стабильности ещё тестируемой версии.

Владельцам этих устройств не в первый раз приходится обновлять прошивку, чтобы избавиться избавления от существенных проблем. Например, в 2016 году Microsoft после череды жалоб на работу аккумулятора и трудностей с исправлением ошибки представила новую прошивку, после которой время автономной работы Surface Pro 3 вернулось к нормальному уровню.

Новая статья: FAQ по Meltdown и Spectre для чайников: обновитесь и молитесь!

Данные берутся из публикации FAQ по Meltdown и Spectre для чайников: обновитесь и молитесь!

Свежевыявленные уязвимости CPU требуют новых аппаратных заплаток

Похоже, проблемы индустрии с уязвимостями, которые активно обсуждались в январе, не собираются заканчиваться. Напомним: тогда общественность узнала, что почти все современные процессоры в той или иной степени подвержены на уровне архитектуры уязвимостям Meltdown и Spectre, связанным с принципом спекулятивных вычислений, используемым для повышения производительности CPU.

Как и предполагалось ранее, Meltdown CVE-2017-5754 (rogue data cache load — загрузка в кеш мошеннических данных), Spectre CVE-2017-5753 (bounds check bypass — обход проверки границ) и Spectre CVE-2017-5715 (branch target injection — целевое внедрение в ветвь) — могут быть далеко не единственными способами использования блока предсказания ветвлений для доступа к защищённым данным.

Исследователи из NVIDIA и Принстонского университета Каролина Триппель (Caroline Trippel), Даниэль Лустиг (Daniel Lustig), Маргарет Мартонози (Margaret Martonosi) опубликовали доклад, в котором описали новые типы атак, названные ими MeltdownPrime и SpectrePrime и снова затрагивающие почти все современные центральные процессоры.

Принцип этих атак схож, но новшество заключается в том, что они нацелены на многоядерные чипы и используют механизм аннулирования линий кеша в современных протоколах когерентности кеш-памяти при передаче данных между ядрами. Как и в случае с Meltdown и Spectre, успешная атака позволяет получить доступ к важной закрытой для сторонних приложений информации вроде паролей. Код SpectrePrime, предлагаемый исследователями в качестве доказательства концепции, приводит к успеху атаки в 99,95 % случаев исполнения на процессоре Intel (уровень успешности обычной атаки Spectre достигает 97,9 %).

Впрочем, в отличие от специалистов Google, в данном случае исследователи благоразумно не опубликовали свой код (напомним, что большинство зарегистрированных зловредов Spectre и Meltdown пока основаны именно на коде Google). Более того, по словам исследователей, разрабатываемые или выпущенные уже заплатки против Meltdown и Spectre вероятнее всего закроют и соответствующие Prime-уязвимости или потребуют минимальных доработок, чтобы залатать новые дыры. Напомним: все основные операционные системы уже получили заплатки против Meltdown и постепенно, не без трудностей, поступают новые прошивки и заплатки против Spectre. Также вносятся изменения в браузеры, антивирусы, драйверы и компиляторы программного обеспечения, чтобы обеспечить дополнительную защиту против Spectre.

Впрочем, MeltdownPrime и SpectrePrime могут создать проблемы для ещё не вышедших на рынок процессоров Intel и AMD. Дело в том, что оба ключевых производителя в настоящее время активно трудятся над внесением в будущие чипы аппаратных изменений против уязвимостей, связанных со спекулятивными вычислениями, однако, по словам исследователей, Prime-атаки могут потребовать собственных аппаратных заплаток. Разработка чипов — это долгий процесс, так что компании могут не успеть с исправлениями, и будущие процессоры, возможно, по-прежнему потребуют программных заплаток — например, архитектура Zen 2, которая, согласно обещанию AMD, не будет подвержена на аппаратном уровне атакам Spectre, выявленным специалистами Google.

«Мы считаем, что микроархитектурные исправления наших Prime-вариантов потребует новых усилий. В то время как Meltdown и Spectre возникают путём загрязнения кеша во время спекулятивных вычислений, MeltdownPrime и SpectrePrime вызваны тем, что запросы на запись отправляются спекулятивно в системе, которая использует протокол когерентности кеша на основе аннулирования», — отмечают специалисты.

Любопытно, что вместе с открытием MeltdownPrime и SpectrePrime корпорация Intel многократно подняла премии за найденные в её продуктах уязвимости, связанные с атаками Spectre по сторонним (побочным) каналам на кеш L3 — максимальная сумма может достигать теперь $250 тысяч. В общем, индустрии придётся её долго и упорно преодолевать выявленную проблему. А пользователям, не желающим терять пароли или другие данные, — своевременно обновлять системы и средства защиты от атак.