Теги → meltdown
Быстрый переход

Исследователи, открывшие Spectre и Meltdown, выявили ещё 7 уязвимостей

В начале года было выявлено несколько вариантов атак, которые базируются на принципе анализа механизма спекулятивного исполнения команд, применяемого во всех современных высокопроизводительных процессорах для ускорения вычислений. Атаки были названы Meltdown и Spectre, и с тех пор найдены многочисленные их вариации — например, CVE-2018-3639, BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime, Spectre 1.1 и 1.2, SpectreRSB и L1TF Foreshadow. Параллельно производители процессоров, ОС и компиляторов разрабатывали аппаратные и программы методы борьбы с подобными видами атак.

Группа специалистов, включающая ряд исследователей, имевших отношение к выявлению первоначальных уязвимостей Meltdown и Spectre, а также связанных с ними атак Foreshadow и BranchScope, опубликовала новый документ, раскрывающий ещё 7 вариаций атак в большом дружном семействе. Некоторые из них закрываются уже существующими методами, но другие для защиты уязвимых систем требуют дополнительных мер.

Исследования подобного рода атак, проводившиеся прежде в этом году, были специфическими случаями по своей сути: например, возможность атаки Spectre удалённо по сети или атаки в духе Meltdown для доступа к защищённым анклавам SGX. Новое исследование более систематично, рассматривает лежащие в основе Meltdown и Spectre механизмы и призвано выявить все способы, при которых спекулятивное исполнение команд может быть использовано злоумышленниками для доступа к закрытой информации.

В новом исследовании, в частности, сообщается о двух новых вариантах Meltdown-подобных атак:

  • Meltdown-BR — эксплуатирует механизм MPX (Memory Protection eXtensions) на 64-бит чипах Intel, который призван увеличивать безопасность программ по отношению к доступу к памяти, добавляя проверку доступа по указателям, в частности, для предотвращения атак, использующих переполнение буфера.
  • Meltdown-PK — обходит механизм PKU (Memory Protection Keys for Userspace), который обычно применяется для обеспечения защиты страниц памяти без изменения таблицы страниц памяти.

Все подобные атаки основаны на том, что процессор при работе того или иного механизма в определённый момент выдаёт ошибку — она создаёт небольшое окно для анализа между действием, которое приводит к сбою, и реальным отчётом о сбое. Исследователи рассмотрели множество вариантов, когда процессор выдаёт ошибку, но многие из них не приводят к возникновению уязвимостей типа Meltdown.

Точно так же они рассмотрели множество вариаций, подобных Spectre. Всего было выявлено ещё пять новых рабочих вариантов атак — три из них нацелены на механизм PHT (Pattern History Table), а ещё два — на буфер адресов перехода BTB (Branch Target Buffer):

  • Spectre-PHT-CA-OP;
  • Spectre-PHT-CA-IP;
  • Spectre-PHT-SA-OP;
  • Spectre-BTB-SA-IP;
  • Spectre-BTB-SA-OP.

Процессоры AMD, ARM и Intel затронуты всеми пятью новыми вариантами атак Spectre. С течением времени механизмы борьбы против Meltdown и Spectre наверняка будут совершенствоваться с точки зрения производительности и эффективности, как в области программной, так и аппаратно. Вряд ли на этих вариантах атак закончилась история с уязвимостью механизма спекулятивных вычислений, но системный подход к анализу позволяет надеяться, что самые серьёзные дыры уже обнаружены.

Исследователи сообщили результаты своих выкладок Intel, ARM и AMD, но только две первых компании сейчас признали их справедливость. Вдобавок они протестировали уже существующие заплатки против Spectre и Meltdown для борьбы со новыми угрозами и пришли к выводу, что они не всегда помогают. Потому специалисты представили доклад с описанием собственного набора мер защиты против злополучных дыр.

Впрочем, в официальном заявлении Intel сообщила: «Уязвимости, задокументированные в этой статье, могут быть полностью устранены путём применения существующих технологий борьбы со Spectre и Meltdown, в том числе ранее описанных здесь, а также другими производителями чипов. Защита клиентов по-прежнему является для нас важнейшим приоритетом и мы благодарны командам Технологического университета Граца, Колледж Вильгельма и Марии, Лёвенского католического университета и специалистам из imec-DistriNet и KU Leuven за их продолжающиеся исследования».

Не все новые процессоры Intel получили аппаратную защиту от Spectre и Meltdown

Компания Intel на днях представила девятое поколение настольных процессоров, и, как оказалось, это первое поколение настольных процессоров, у которых на аппаратном уровне имеется защита от уязвимостей Spectre и Meltdown. Однако исправления получили не все новые процессоры.

Как оказалось, защита от вышеуказанных уязвимостей имеется только у процессоров Coffee Lake Refresh, предназначенных для массового сегмента рынка. А вот новое поколение процессоров Core-X соответствующих изменений не получило, потому как выполнены эти процессоры на более старой архитектуре Skylake. По той же причине аппаратные исправления отсутствуют и в новом Xeon W-3175X, предназначенном для мощных рабочих станций.

Однако то, что массовые процессоры теперь должны быть устойчивы к атакам классов Spectre и Meltdown, а также их подвидам, не может не радовать. Как отмечает Intel, исправления затронули как аппаратную часть новых процессоров, то есть кристалл, так и программную, в частности, были доработаны микрокоды новых процессоров. Какие именно изменения были внесены в дизайн микросхем, пока что не сообщается.

Аппаратные изменения, внесённые в новые чипы, защищают от Meltdown V3 и L1 Terminal Fault (L1TF Foreshadow). Изменения в программном обеспечении и микрокоде защищают от атак Spectre V2, Meltdown V3a и V4. Защита от Spectre V1 по-прежнему будет осуществляться исправлениями на уровне операционной системы.

Появление исправлений на уровне кристалла должно уменьшить влияние программных патчей на производительность процессоров. Напомним, что ранее программные исправления привели к снижению производительности процессоров и другим неприятным последствиям. Однако у новинок это должно быть незаметно, так как все исправления имеются в них изначально.

Intel Whiskey Lake включают аппаратные заплатки против Meltdown и Foreshadow

Анонс новейших чипов Intel семейства Whiskey Lake оставил за скобками один очень важный факт: эти процессоры стали первыми потребительскими чипами компании, которые получили аппаратные, на уровне кремния, исправления против уязвимостей Meltdown и Foreshadow. Вначале эту информацию сообщил отраслевой аналитик Ашраф Эасса (Ashraf Eassa) в своём Twitter, а затем журналисты обратились за комментариями к самой Intel.

Представитель компании подтвердил, что чипы Whiskey Lake действительно получили первые аппаратные исправления, но при этом представленные одновременно процессоры Amber Lake их по-прежнему не имеют. В настоящее время заплатки против Spectre и Meltdown на уровне микрокода и ОС, которые разработала Intel, могут снижать производительность на уровень до 10 % (в зависимости от рабочей нагрузки) на последних кристаллах, а на более старых процессорах потери могут быть ещё бо́льшими. Новые заплатки, которые внесены на уровне дизайна микросхемы, должны уменьшить или даже нивелировать влияние на производительность.

Первая волна аппаратных исправлений оказалось довольна ограниченной, но Intel говорит, что со временем будут вноситься всё новые исправления на уровне кристаллов. Процессоры Whisky Lake по-прежнему нуждаются в использовании различных комбинаций программных заплаток для борьбы с большинством вариантов уязвимостей, но зато в них полностью на аппаратном уровне нивелирована опасность атак Meltdown и L1TF Foreshadow.

Ранее считалось, что первыми кристаллами Intel с аппаратными заплатками станут процессоры Cascade Lake для сектора ЦОД — по крайней мере, не так давно компания обнародовала эти данные на мероприятии Hot Chips 2018. Впрочем, Cascade Lake получат более продвинутые аппаратные исправления: например, в них будет защита против Spectre 2, тогда как процессоры Whiskey Lake полагаются против таких атак исключительно на программные заплатки.

Представители Intel уверяют, что со временем такие же средства защиты против Spectre 2 поступят и в дизайн потребительских процессоров. Ограниченный спектр исправлений на уровне кремния говорит о том, что Intel, как и многие другие компании, пострадавшие от этих уязвимостей, все ещё находится на раннем этапе решения проблемы. Не сообщается, включают ли чипы Cascade Lake аппаратные заплатки против L1TF Foreshadow, но это вполне логично.

Так или иначе, появление первых исправлений на уровне кристалла может помочь устранить возможность потенциальных будущих уязвимостей, связанные с принципами работы методов спекулятивных вычислений. Новые варианты, обнаруживаемые и публикуемые с завидной регулярностью, основаны подчас на тех же методах, что Spectre и Meltdown. Intel не раскрывает подробности о природе аппаратных заплаток, видимо, не желая давать козыри злоумышленникам.

Со времени публикации первоначальной информации о трёх видах уязвимостей CPU, связанных со спекулятивными вычислениями (под общим именем Meltdown и Spectre), был раскрыт целый ряд новых аналогичных вариантов атак — например, CVE-2018-3639, BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime, Spectre 1.1 и 1.2, SpectreRSB и L1TF Foreshadow. Исследователи убеждены, что это далеко не полный список и в перспективе будут обнаружены новые виды подобных уязвимостей.

Вполне логично предположить, что и другие новые процессоры Intel, вроде ожидаемых моделей серии 9000, тоже получат аппаратные исправления, но официальных данных на этот счёт пока нет.

Новые патчи против Spectre: Intel «случайно» запретила говорить о побочных эффектах

Как известно, обновления микрокода для процессоров Intel, направленные на закрытие уязвимостей Meltdown и Spectre, а также их производных, приводят к снижению производительности. Теперь же Intel это формально подтвердила, запретив публиковать результаты тестов процессоров после обновления микрокода.

Этот год начался для Intel с обнаружения в её процессорах нескольких крупных уязвимостей, и затем регулярно обнаруживались новые уязвимости. Компания Intel старается максимально оперативно реагировать на всё новые уязвимости в безопасности своих процессоров и выпускать обновления микрокода, которые эти «дыры» закрывают. И очередное обновление микрокода, выпущенное под Linux, помимо «заплаток» принесло и новое лицензионное соглашение.

Кроме прочего в нём говорится, что пользователь не имеет права публиковать результаты тестов или сравнивать их с другими результатами. Получается, что Intel попросту запрещает своим пользователями даже проверять, насколько сильно изменяется производительность процессоров после установки обновлений.

Данное условие к тому же неэтично по отношению к пользователям, причём как в серверном, так и в потребительском сегментах, ведь оно по сути запрещает им оценивать влияние различных обновлений микрокода на производительность своих систем. Возможно, в некоторых странах такое требование и вовсе незаконно.

По всей видимости, Intel опасается за свой имидж, которому явно не пойдёт на пользу информация о снижении производительности после обновлений. Ведь в том, что обновления негативно сказываются на производительности процессоров Intel, сомневаться не приходится. И даже если по отдельности их влияние незначительно, все вместе они вполне могут ощутимо ударить по производительности процессоров. Однако подобное условие в лицензионном соглашении также не красит Intel и явно не скажется положительно на её имидже.

Поэтому уже к моменту публикации данной заметки компания Intel прокомментировала сложившуюся ситуацию. В официальном заявлении говорится, что компания обновит лицензионное соглашение и «решит данную проблему». Новая версия соглашения будет выпущена уже совсем скоро. Также было отмечено, что Intel «является активным участником сообщества открытого программного обеспечения и по-прежнему приветствует все отзывы».

Первые аппаратные заплатки Intel против Spectre — для чипов Cascade Lake

В начале года общественность узнала о существовании в современных процессорах застарелых ошибок, связанных с принципами работы методов спекулятивных вычислений и делающих возможными атаки по сторонним каналам под общими именами Meltdown и Spectre. Теперь Intel на мероприятии Hot Chips 2018 официально объявила о том, что её процессоры Cascade Lake для сектора ЦОД получат аппаратные заплатки против этих уязвимостей и аппаратную поддержку скоростной кеш-памяти Optane в формате DIMM. Подобные же исправления поступят в настольные процессоры, но компания не сообщила пока конкретной информации на этот счёт.

14-нм чипы Cascade Lake будут противостоять процессорам AMD EPYC Rome, которые производится на 7-нм мощностях TSMC. На 2019 год Intel готовит новое семейство Cooper Lake, но и эти серверные процессоры будут выпускать на ещё одной модернизированной версии 14-нм техпроцесса. А 10-нм процессоры Ice Lake доберутся до серверного рынка лишь в 2020 году.

Существующие программные исправления приводят к снижению производительности, которая зависит от рабочей нагрузки, но аппаратные заплатки призваны уменьшить этот негативный эффект. В некоторых задачах производительность может упасть на 10 %, а в нагрузках, связанных с вводом-выводом и с активной работой накопителей — существенно сильнее. Стоит отметить, что в Cascade Lake будут аппаратно закрыты не все уязвимости, связанные со спекулятивными вычислениями.

Intel по-прежнему будет использовать комбинацию прошивки и программного обеспечения для некоторых уязвимостей. Например, для Spectre 1 будут применяться программные заплатки уровня ОС и менеджера виртуальной машины (VMM).  Для Spectre 2 — программно-аппаратные исправления, для Spectre 3 — только аппаратные. Spectre 3a и 4, а также выявленные позднее уязвимости будут требовать заплаток на уровне прошивки, ОС и VMM. Впрочем, аппаратные новшества могут быть полезны и для борьбы против других атак, связанных со спекулятивными вычислениями. Intel не раскрывает подробности о природе аппаратных заплаток, видимо, не желая давать козыри потенциальным злоумышленникам.

Процессоры Cascade Lake наследуют основные элементы дизайна семейства чипов Xeon Scalable: до 28-ядер (56 потоков), до 38,5 Мбайт кеша L3, новый интерфейс UPI (Ultra Path Interface), до шести каналов памяти, поддержка AVX-512 и до 48 линий PCIe. И да, они совместимы с той же контактной площадкой, что и существующие процессоры, так что обновление будет относительно простым.

Помимо аппаратных заплаток против Meltdown и Spectre главное новшество — использование улучшенного 14-нм++ техпроцесса. Intel заявляет, что обновлённые нормы печати кристаллов позволили ей повысить частоты, снизить энергопотребление и ввести целенаправленные улучшения в критически важных скоростных показателях чипа.

Intel также добавила поддержку новых инструкций VNNI (Vector Neural Network Instructions), которые оптимизируют работу с мелкими типами данных, обычно используемыми в процессах машинного обучения и принятия решений. Инструкции VNNI объединяют три команды в одну для повышения производительности Int8 (VPDPBUSD) и две инструкции — для увеличения скорости Int16 (VPDPWSSD).

Современные процессоры Intel Xeon Scalable не поддерживают высокоскоростную постоянную память 3D XPoint в формате модулей DIMM. Эти скоростные накопители под маркой Optane предназначены для установки в интерфейс DRAM, как обычные модули ОЗУ, но выпускаются ёмкостью 128, 256 и 512 Гбайт. Они позволяют сделать большой скачок в производительности ряда зависимых от скорости накопителей задач.

Смартфоны Samsung Galaxy S7 оказались уязвимы к атакам Meltdown

Популярные смартфоны Samsung Galaxy S7 содержат уязвимость в чипе, обнаруженную ещё в начале этого года, что ставит под удар десятки миллионов устройств, которые могут быть взломаны злоумышленниками — об этом исследователи из Технического университета в Граце (Австрия) сообщили журналистам Reuters. Речь идёт о пресловутой уязвимости Meltdown, которая, как считалось, не затрагивает ARM-чипы, используемые в Galaxy 7 и других смартфонах Samsung.

Reuters

Reuters

Команда исследователей собирается обнародовать свои выводы в среду на конференции по безопасности Black Hat в Лас-Вегасе. Специалист Майкл Шварц (Michael Schwarz) сказал, что они изучают влияние Meltdown и на другие модели смартфонов и ожидают, что в ближайшем будущем обнаружат больше уязвимых устройств.

«Возможно, уязвимостью затронуто гораздо больше смартфонов, о которых мы пока не знаем, — подчеркнул он. — Теоретически речь идёт о сотнях миллионов аппаратов, которые подвержены атакам Meltdown, и проблема не может быть исправлена, потому что производители до сих пор о ней не знают».

Samsung заявила, что выпустила заплатки в январе и июле, чтобы защитить телефоны Galaxy S7 от Meltdown. «Samsung очень серьёзно относится к безопасности, и при разработке продуктов и услуг приоритет всегда отдаётся безопасности», — сказал корейский производитель в своём заявлении. Представительница Samsung поспешила отметить, что до сих пор не было доказанных случаев, когда Meltdown использовался бы для атаки на Galaxy S7 и что ничего не известно об уязвимости других смартфонов Samsung.

reuters

Reuters

Meltdown и схожая уязвимость Spectre эксплуатируют особенности работы механизма спекулятивных вычислений современных процессоров и могут быть использованы для доступа к защищённым областям кеш-памяти CPU. Пока нет громких случаев взлома с использованием подобных атак, вариантов которых обнаружено уже более десятка. Тем не менее, производители вынуждены выпускать заплатки, которые нередко сказываются на производительности системы.

Согласно данным исследовательской фирмы Strategy Analytics, Galaxy S7 в настоящее время используется примерно 30 миллионами человек.

Обнаружена ещё одна Spectre-подобная уязвимость чипов Intel

Не зря специалисты назвали ключевые уязвимости современных CPU, связанные со спекулятивными вычислениями, именем Spectre — эти призраки, похоже, ещё долго будут бродить по миру и терзать IT-индустрию. По крайней мере, корпорация Intel выплатила $100 тысяч за выявление очередной уязвимости её процессоров, связанной с утечками важных данных и близкой к Spectre 1 (CVE-2017-5753 или bounds check bypass — обход проверки границ).

Эта внушительная цифра выплат была обнародована через платформу поиска уязвимостей Hacker One и почти сразу привлекла внимание наблюдателей в области безопасности. Затем в Twitter было дано пояснение, что речь идёт о новой уязвимости процессоров Intel, которой был присвоен идентификатор CVE-2018-3693.

Стало также известно, что Intel поблагодарила Владимира Кирианского (Vladimir Kiriansky) из Массачусетского технологического института и Карла Вальдспургера (Carl Waldspurger) из Carl Waldspurger Consulting за сообщение о проблеме и координированную работу с индустрией по раскрытию информации о новой уязвимости. Чуть позже была опубликована и работа этих исследователей.

Согласно документу, на самом деле специалисты выявили две новых вариации первоначальной уязвимости Spectre 1. Они назвали их Spectre1.1 и Spectre1.2, однако именно Spectre 1.1, похоже, является наиболее проблемной, получившей собственный номер CVE. Исследование было проведено ещё в феврале 2018 года. Сейчас Intel уже обновила документацию по Spectre, включив в неё как описание нового варианта атаки, так и способы программной борьбы с ним.

Директор Oracle по обеспечению безопасности Эрик Морис (Eric Maurice) подтвердил, что его фирма обдумывает собственные программные заплатки. «Сегодня было заявлено о новой уязвимости процессоров. Уязвимость CVE-2018-3693 («Bounds Check Bypass Store» или BCBS) тесно связана с Spectre 1, — отметил он. — Как и в предыдущих вариациях Spectre и Meltdown, Oracle активно взаимодействует с Intel и другими отраслевыми партнёрами для разработки технических исправлений против этого варианта атаки CPU».

Господин Морис отметил, что новые варианты уязвимостей, использующие те же принципы, что и Spectre или Meltdown, весьма вероятны, ожидаемы и наверняка будут выявлены в обозримом будущем. «К счастью, условия использования этих архитектурных проблем остаются одинаковыми: злоумышленники вначале должны получить привилегии, необходимые для установки и исполнения вредоносного кода на целевых системах», — подчеркнул он.

Исследователи выразили убеждение, что проблема с перекрытием спекулятивных буферов Spectre1.1 может быть полностью исправлена аппаратными средствами. По их словам, будущие чипы полностью закроют возможность подобных методов атак без особого влияния на производительность.

Стоит отметить, что ещё не было обнаружено вредоносного ПО, производящего успешные атаки с помощью дыр Spectre и Meltdown, не говоря уже о различных новых вариантах. То же касается и Spectre-подобных методов, которые были выявлены с января (CVE-2018-3639, BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime). Просто заплатки уже достаточно широко установлены, что сильно усложняет атаки; вдобавок последние крайне сложны в использовании и не стоят затрачиваемых усилий, ведь существует множество более простых ошибок, дающих возможность повысить привилегии зловреда и использовать их для доступа к ядру или другому защищённому ПО.

Официальное заявление корпорации Intel об обнаруженной уязвимости:

«Мы продолжаем работать вместе с исследователями по безопасности, партнёрами и участниками академического сообщества над тем, чтобы защитить наших заказчиков от новых угроз безопасности, и, по мере возможности, мы стараемся упростить публикацию новой информации о безопасности, а также соответствующих рекомендаций для наших партнеров по отрасли и для заказчиков. С учётом этого сегодня мы публикуем подробности об устранении целого ряда потенциальных проблем, в том числе о разновидности уязвимости Variant1, получившей название Bounds Check Bypass Store, по которой уже были опубликованы соответствующие рекомендации для разработчиков. Дополнительная информация опубликована на соответствующей странице нашего сайта, посвящённой безопасности продуктов. Защита данных наших заказчиков и обеспечение безопасности наших продуктов является для Intel одним из ключевых приоритетов».

Реакция Intel, ARM и AMD на новую Spectre-подобную уязвимость

Недавно специалисты по безопасности из Microsoft и Google сообщили об очередной выявленной ещё в ноябре 2017 года аппаратной уязвимости современных процессоров, использующих блоки спекулятивных вычислений. Какова же реакция Intel, AMD и ARM на неутешительную новость об обнаружении Spectre-подобной уязвимости CVE-2018-3639 (вариант 4)?

«Вариант 4 использует принципы спекулятивного исполнения команд, общий для большинства современных процессорных архитектур и позволяет получать доступ к определённым видам данных через сторонние каналы», — отметила исполнительный вице-президент Intel по безопасности продуктов Лесли Калбертсон (Leslie Culbertson).

«В данном случае исследователи продемонстрировали Вариант 4 в среде исполнения кода на определённом языке. Хотя мы не знаем об успешном использовании браузеров, наиболее распространённый пример такого рода — это исполнение кода JavaScript в веб-обозревателях. Начиная с января большинство ведущих браузеров уже получили заплатки для Варианта 1 в их средах исполнения — обновления существенно увеличивают сложность использования атак по сторонним каналам в веб-браузере. Они также применимы к Варианту 4 и уже доступны для потребителей сегодня», — добавила она.

По словам госпожи Калбертсон, Intel и другие компании будут выпускать новые версии микрокода и программные заплатки для более эффективного противодействия зловредам, использующим четвёртый вариант атаки. Эти заплатки сейчас тестируются производителями компьютеров и устройств. Интересно, что они будут отключены по умолчанию при распространении среди потребителей — по-видимому, потому что риск успешной атаки крайне низок и защита против неё не стоит падения производительности. Это очень сложная уязвимость, которую можно закрыть, но при этом крайне тяжело использовать. Ещё одна причина отключения заплаток по умолчанию может скрываться в потенциальных проблемах со стабильностью систем с ранними версиями обновлений против Spectre.

Лесли Калбертсон добавила: «Мы уже передали OEM-производителям и поставщикам системного ПО предварительное тестовое обновление микрокода против Версии 4 — в ближайшие недели будут выпущены финальные варианты заплатки, которые начнут развёртываться в новых версиях BIOS и обновлениях ОС. Эта заплатка будет отключена по умолчанию, предоставляя клиентам возможность включить её. Мы ожидаем, что большинство отраслевых партнёров по программному обеспечению тоже будут отключать исправление по умолчанию. В этой конфигурации мы не заметили влияния на производительность. Если же заплатка активирована, мы наблюдали снижение производительности на 2–8 процентов на основе средних оценок в тестах вроде SYSmark 2014 SE и SPEC, для клиентских и серверных систем».

Пресс-секретарь ARM тоже прокомментировал ситуацию: «Этот последний вариант Spectre затрагивает небольшое количество ядер ARM семейства Cortex-A и исправляется с помощью встроенного обновления прошивки, которое можно найти на нашем веб-сайте. Как и в предыдущих опубликованных вариантах Spectre, последний может быть задействован только в том случае, если особый тип вредоносного ПО исполняется непосредственно на клиентском устройстве. ARM настоятельно рекомендует, чтобы пользователи соблюдали общие правила безопасности против вредоносного ПО и старались вовремя обновлять своё программное обеспечение».

ARM также сообщила, что к июлю этого года выпустит обновлённые схемы однокристальных систем на базе ядер Cortex-A72, Cortex-A73 и Cortex-A75, которые будут аппаратно устойчивы ко второму варианту Spectre, а Cortex-A75 также получит обновление против Meltdown (вариант 3).

Представитель AMD рассказал об исправлениях на уровне ОС: по сути, некоторые ключевые регистры нуждаются в настройке, чтобы противостоять атакам по Варианту 4: «AMD рекомендует установить заплатки против SSB [the speculative store bypass] через обновления операционной системы для процессоров семейства 15 (продукты с архитектурой Bulldozer). Для получения подробной информации ознакомьтесь с технической документацией AMD. Microsoft завершает окончательное тестирование и проверку специфических для AMD обновлений для клиентских и серверных операционных систем Windows, которые, как ожидается, будут развёрнуты через стандартный процесс обновления. Аналогичным образом, дистрибуторы Linux разрабатывают обновления операционной системы против SSB. AMD рекомендует следовать указаниям от конкретных поставщиков ОС. Исходя из сложности использования уязвимости, AMD и наши партнёры по экосистеме в настоящее время рекомендуют использовать настройку по умолчанию».

Red Hat опубликовала важное руководство по четвёртому варианту, рассказав о его воздействии и принципах работы. VMware также предлагает комментарии и обновления, как и Xen Project.

Стоит отметить, что до сих пор не было обнаружено вредоносных программ, производящих успешные атаки с помощью дыр Spectre и Meltdown, не говоря уже о последнем четвёртом варианте. То же касается и различных Spectre-подобных методов, которые были выявлены с января (BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime). Это обусловлено либо тем, что заплатки уже достаточно широко установлены, что делает атаки в значительной степени бесплодными; либо же такие сложные атаки просто не стоят затрачиваемых усилий, поскольку существует множество более простых ошибок, позволяющих повысить привилегии зловреда и использовать их для доступа к ядру и другим приложениям. Для повышения эффективности борьбы с Meltdown и Spectre Intel предложила использовать мощности графических ускорителей для сканирования физической памяти во время простоя и выявления программных уловок.

В целом же все выявленные аппаратные ошибки безопасности, связанные с принципом спекулятивных вычислений, дают представление о том, что годами полупроводниковая индустрия концентрировала усилия на повышении производительности, уделяя куда меньше внимания механизмам защиты памяти.

Microsoft и Google обнаружили четвёртую уязвимость класса Meltdown-Spectre

Исследователи из Microsoft и Google обнаружили четвёртый вариант уязвимости современных процессоров класса Meltdown-Spectre, позволяющий несанкционированно получать доступ к данным. Эти ошибки спекулятивного исполнения команд в теории могут быть использованы вредоносным ПО, запущенным на уязвимом устройстве или компьютере, или злоумышленником, зарегистрированным в системе, для постепенного получения секретов (например, паролей) из защищённого ядра или памяти приложения.

Ранее были известны три основных варианта таких атак. Spectre — это название двух уязвимостей: вариант 1 или CVE-2017-5753 (обход проверки границ) и вариант 2 или CVE-2017-5715 (целевое внедрение в ветвь). Вариант 3 назывался Meltdown или CVE-2017-5754 (загрузка в кеш мошеннических данных).

Теперь исследователи рассказали о варианте 4 (CVE-2018-3639). Он затрагивает современные процессорные ядра, поддерживающие исполнение команд с изменением последовательности от Intel, AMD, ARM, а также процессоры IBM Power 8, Power 9 и System z. Следует помнить, что ядра ARM применяются во всём мире в смартфонах, планшетах и встраиваемой электронике.

Четвёртый вариант уязвимостей может быть в теории использован даже скриптами, запущенными внутри программ — например, с помощью кода JavaScript на веб-странице на вкладке браузера — для похищения конфиденциальной информации из других частей приложения (например, личных данных с другой вкладки).

Исправления, уже выпущенные против варианта 1, который является самой трудной для исправления уязвимостью, должны сделать атаки с применением варианта 4 намного сложнее. Другими словами, веб-браузеры и аналогичные программы с исполнением скриптов и другого внешнего кода, защищённые от атак Spectre 1, одновременно должны ослаблять результативность атак по варианту 4. На данный момент о реальном вредоносном ПО, которое бы задействовало вариант 4, ничего не известно.

Специалистами по безопасности, кстати, была также раскрыта ещё одна ошибка CVE-2018-3640: это мошенническое считывание системного реестра, позволяющее обычным программам получать доступ к флагам состояния оборудования — например, к регистрам, которые должны быть в идеальном мире доступны только ядру операционной системы, драйверам и гипервизорам.

Вариант 4 также называется Speculative Store Buffer Bypass и связан со спекулятивным исполнением подходящих по мнению процессорной логики команд в те моменты, когда текущие инструкции занимаются сохранением данных в медленную память. Современные CPU не желают простаивать и используют это время для ускорения работы, что серьёзно отражается на быстродействии.

Этот метод спекулятивных вычислений подразумевает перенос данных в кеш-память первого уровня. Именно на основе анализа этих остаточных данных в кеше вредоносная программа, повторяя процедуру снова и снова, может извлекать критически важную информацию. Название Spectre вполне подходит этому методу, который в чём-то похож на наблюдение за призраком.

Вариант 4 был обнаружен ещё в ноябре 2017 года совместными усилиями Янна Хорна (Jann Horn) из команды Google Project Zero и Кена Джонсона (Ken Johnson) из Microsoft. Поэтому у производителей было достаточно времени, чтобы разработать средства борьбы с уязвимостью. Сообщается, что программные заплатки против этого метода приведут к очередной деградации производительности на значение до 8 % (в перспективе за счёт оптимизаций планируется снизить урон).

Заплатка Windows 7 против Meltdown открывает опасную уязвимость

Январские и февральские исправления Microsoft остановили ошибку Meltdown, которая позволяла с помощью изощрённых методов получать пароли из защищённой памяти. Однако исследователь безопасности Ульф Фриск (Ulf Frisk) обнаружил, что исправления открыли гораздо худшую ошибку ядра, которая позволяет любому процессу читать и записывать в любое место памяти ядра.

По словам специалиста, проблема затрагивает только 64-битные операционные системы Windows 7 x64 и Windows Server 2008 R2. Он утверждает, что две заплатки ошибочно устанавливали бит в трансляторе виртуальной-физической памяти, известном как PLM4 (карта страниц четвёртого уровня), что в итоге позволяет пользовательскому приложению обращаться к таблицам страниц ядра.

Модуль управления памятью процессора (MMU) Intel использует эту базу 4-уровневой иерархии таблиц страниц для трансляции виртуального адреса процесса в адрес физической памяти ОЗУ. Правильно установленный бит обычно гарантирует, что ядро имеет эксклюзивный доступ к этим таблицам — в обычных условиях пользователю они недоступны.

В результате, по словам господина Фриска, ошибка делает предельно лёгкой задачу доступа к физической памяти, поскольку в Windows 7 таблица страниц PML4 находится на фиксированном адресе памяти (в Windows 10 адрес случаен). Эта ситуация означает, что злоумышленник также сможет без труда найти таблицу страниц Windows 7, которая доступна всем пользовательским приложениям.

В результате эксплоиту не нужно делать никакой лишней работы — можно просто считывать уже сопоставленную память нужного процесса, если только физическая память дополнительно не защищена расширенными страницами таблиц (EPT), используемыми для виртуализации. Microsoft, кстати, уже исправила ошибку в мартовском обновлении безопасности, переназначив бит разрешения PML4 в правильное значение. Поэтому всем пользователям Windows 7 и Windows Server 2008 R2 рекомендуется немедленно обновиться. Windows 10 и Windows 8.1 не были затронуты проблемой.

Исследователи обнаружили ещё одну Spectre-подобную атаку BranchScope

Команда учёных из четырёх университетов США обнаружила новый вариант атаки по сторонним каналам (side-channel attack), которая использует особенности спекулятивного исполнения в современных процессорах для извлечения важных данных из процессоров пользователей. По сути речь идёт об ещё одном варианте Meltdown- и Spectre-подобных атак, о которых общественность узнала в самом начале года.

Впрочем, специалисты в своём исследовании отмечают, что в отличие от предыдущих уязвимостей, их метод атакует новую секцию процесса спекулятивного исполнения команд. Уязвимость получила имя BranchScope, потому что наиболее сходна со Spectre CVE-2017-5715 (branch target injection — целевое внедрение в ветвь).

BranchScope позволяет злоумышленникам направить конвейер спекулятивных расчётов по нужному им пути для получения доступа к определённым областям памяти процессора и извлечения данных, доступа к которым в нормальных условиях у них нет. Уязвимость в целом работают похоже с CVE-2017-5715, но последняя нацелена на атаку буфера адресов ветвлений (Branch Target Buffer), который является компонентом кеша для операций прогнозирования ветвлений. В свою очередь BranchScope атакует предсказатель направленного ответвления (directional branch predictor) — процесс, который решает, какие спекулятивные операции выполняются.

Учёные отмечают, что BranchScope — первая атака по сторонним каналам, которая нацелена непосредственно на предсказатель ветвлений, и что она может использоваться в том числе для извлечения содержимого, хранящегося в анклавах SGX, наиболее защищённых областях процессоров Intel. Исследовательская группа уже успешно проверила свой метод и доказала, успешное извлечение данных из последних чипов Intel, включая Sandy Bridge, Haswell и Skylake. Команда заявила, что атака может быть запущена из пользовательского пространства (без прав администратора) и имеет коэффициент ошибок менее 1 %.

Специалисты также заявили, что поскольку речь идёт о новой атаке, в настоящее время нет никаких заплаток против BranchScope, а исправления против Spectre неэффективны. Впрочем, по их словам, закрыть уязвимость можно как аппаратными, так и программными средствами. Но в своём заявлении Intel утверждает обратное:

«Мы работаем с этими исследователями и определили, что метод, который они описывают, аналогичен ранее известным вариантам атак по сторонним каналам. Мы ожидаем, что существующие программные исправления для известных уязвимостей такого рода, такие как использование криптографии с защитой от стороннего канала, будут также эффективны против метода, описанного в этом документе. Мы считаем, что тесное партнёрство с исследовательским сообществом является одним из лучших способов для защиты клиентов и их данных, и высоко ценим работу этих исследователей».

Помимо Meltdown, Spectre и теперь BranchScope, недавно были обнаружены и другие варианты атак по сторонним каналам: SgxSpectre, MeltdownPrime и SpectrePrime.

Intel выпустила обновление микрокода против Spectre для Ivy Bridge и Sandy Bridge

Инженеры Intel продолжают засучив рукава трудиться над исправлением проблемы аппаратных уязвимостей процессоров компании, известной под именами Spectre и Meltdown. Впервые ещё в январе производитель выпустил помимо прочих заплаток обновления микрокода против Spectre для своих процессоров с архитектурами Broadwell, Haswell, Skylake, Kaby Lake и Coffee Lake. Но всё оказалось несколько сложнее — заплатки приводили к сбоям и перезагрузкам компьютеров, так что в итоге Intel рекомендовала партнёрам и пользователям воздержаться от установки заплаток до их доработки.

Затем компания стала более размеренно выпускать такие обновление начиная с самых актуальных процессоров и спускаясь всё дальше в прошлое — планируются заплатки для CPU вплоть до различных 45-нм решений. После ряда обновлений для Skylake, Kaby Lake, Coffee Lake, Broadwell и Haswell, выпущенных после тщательного тестирования и обкатки, дошла очередь и до архитектур Ivy Bridge и Sandy Bridge.

Компания выпустила обновления микрокода не только для настольных вариантов этих чипов, но и для различных их серверных версий, а также для некоторых вариантов Haswell, которые не были затронуты прошлыми заплатками. Напомним: обновление микрокода требуется для борьбы с вариантом Spectre CVE-2017-5715 (целевое внедрение в ветвь). Теоретически на его основе для конечных потребителей могут быть выпущены новые версии прошивок BIOS (впрочем, микрокод может загружаться и при старте ОС).

Теперь все ждущие исправлений чипы относятся к поколениям старше Sandy Bridge: речь идёт, например, о 32-нм Westmere (первый 6-ядерный CPU на базе Nehalem), 4-ядерных Nehalem (Bloomfield, Lynnfield), а также различных мобильных процессорах вроде 32-нм Arrandale и Clarkdale. Вслед за исправлением всего семейства Nehalem, Intel приступит к выпуску нового микрокода и для некоторых ещё более старых процессоров Core 2 Quad и Core 2 Duo, хотя эти заплатки всё ещё находятся на ранних стадиях тестирования.

Отрадно видеть, что компания преодолела начальные трудности и выпускает обновления на регулярной основе. Это важно, учитывая тот факт, что Spectre — очень вредная уязвимость. Она, например, может быть использована даже для доступа к данным, хранящимся в защищённых областях Intel SGX (Software Guard Extensions). Другими словами, обновления против Spectre и Meltdown по сути обязательны для всех, кто минимально заботится о неприкосновенности информации и своих паролей, хотя в некоторых задачах они могут приводить к существенному снижению производительности, особенно на относительно старых CPU.

Для множества устаревших материнских плат производители могут никогда и не выпустить новых версий BIOS, включающих свежие версии микрокода. Однако Microsoft время от времени представляет обновления Windows, включающие такие заплатки — в качестве примера можно привести KB4090007, выпущенную в конце февраля. Пока не ясно, будет ли Microsoft выпускать такие исправления для Haswell и более старых чипов.

О прогрессе инженеров Intel в деле выпуска новых версий микрокода можно следить в особом официальном документе, который постоянно обновляется.

Новый вариант атаки Spectre позволяет извлекать данные из защищённых областей Intel SGX

Новый вариант атаки Spectre на процессоры Intel можно использовать для взлома анклавов (защищённых областей исполнения) Software Guard Extensions (SGX) и просмотра их содержимого. Так называемая атака по сторонним (или побочным) каналам SgxPectre влияет на программы с повышенным уровнем защиты на базе Intel SGX.

Команды Intel SGX поддерживаются в платформах на базе настольных процессоров Core 7-го поколения и серверных Xeon E3 v5 и выше. Intel разработала технологию для защиты исходного кода и данных от несанкционированного доступа и изменения. Особенно важные части приложения могут быть помещены разработчиками в такой защищённый анклав с помощью специальных команд и SDK и в теории должны быть защищены от системного ПО, включая гипервизоров и ОС. Недавно Microsoft начала поддерживать SGX в своей облачной платформе Azure, что позволяет разработчикам защищать данные от недобросовестных сотрудников в своих ЦОД.

Как объясняют исследователи из Университета штата Огайо в документе, подробно описывающем SgxPectre, атаки Meltdown и Spectre на процессоры поднимают вопросы относительно устойчивости SGX к ним. Судя по выкладкам, технология уязвима, и эту проблему так же сложно исправить. Злоумышленник, использующий SgxPectre, может, как сообщается, полностью нарушить конфиденциальность SGX-анклавов и узнать содержимое защищённой области памяти.

Атака фокусируется на двух аппаратных функциях процессоров Intel, которые предназначены для повышения производительности посредством спекулятивных вычислений. К ним относятся предсказание ветвлений кода анклава, чем можно манипулировать с помощью кода вне анклава и неявное кеширование памяти, вызванное спекулятивно исполненными инструкциями. По словам разработчиков, сейчас уязвимостям подвержен любой код, созданный с помощью Intel SDK.

С атакой можно бороться с помощью IBRS (Indirect Branch Restricted Speculation), которая является одним из исправлений, вносимых Intel в обновления микрокода своих чипов против Spectre CVE-2017-5715 (целевое внедрение в ветвь). Но поскольку обновление микрокода может быть не применено или отменено злоумышленником, разработчикам, полагающимся на SGX в облаке, придётся проверять номер версии безопасности процессора во время удалённого подключения.

Исследователи выпустили инструмент сканирования уязвимостей для поиска проблемных шаблонов кода и планируют в будущем опубликовать открытые исходные коды эксплойтов SgxPectre. Intel обещает, что исправлений Spectre и Meltdown в сочетании с обновлением SGX SDK, которое выйдет 16 марта, будет достаточно для преодоления проблемы. Полное заявление журналистам ZDNet:

«Мы знаем об исследовании университета штата Огайо и ранее публиковали в Сети информацию и рекомендации о том, как на Intel SGX могут влиять уязвимости анализа побочных каналов. Мы ожидаем, что существующие исправления для Spectre и Meltdown в сочетании с обновлённым инструментарием разработки ПО для поставщиков приложений SGX, который мы планируем выпустить 16 марта, будут эффективны против методов, описанных в этом исследовании. Мы рекомендуем клиентам убедиться, что они всегда используют самые последние версии наборов инструментов».

Intel выпустила обновление микрокода против Spectre для Broadwell и Haswell

Проблема аппаратных уязвимостей современных процессоров, известная под именами Spectre и Meltdown, похоже, долгое время будет беспокоить производителей и пользователей. Ещё в январе Intel помимо прочих заплаток выпустила обновления микрокода против Spectre для своих процессоров с архитектурами Broadwell, Haswell, Skylake, Kaby Lake и Coffee Lake. Но всё оказалось не так просто — заплатки приводили к сбоям и перезагрузкам систем.

В итоге Intel рекомендовала партнёрам и пользователям воздержаться от установки заплаток до их доработки. В начале февраля был представлен исправленный вариант микрокода для мобильных и настольных потребительских чипов семейства Skylake. Позже вышли новые версии микрокода для Kaby Lake, Coffee Lake, а также ряда незатронутых предыдущим обновлением Skylake-базированных платформ.

Теперь компания выпустила переработанные заплатки для более старых архитектур Broadwell и Haswell. Эти обновления доступны для всех семейств с указанными архитектурами, кроме Broadwell Server EX и Haswell Server EX, которые всё ещё находятся в стадии бета-тестирования. Поддерживаются процессоры Xeon и Intel Core i, включая Broadwell H 43e и Broadwell U и Y.

Напомним: обновление микрокода требуется для борьбы с вариантом Spectre CVE-2017-5715 (целевое внедрение в ветвь). Теоретически на их основе для конечных потребителей будут выпущены новые версии прошивок BIOS. Работа над обновлениями микрокода для других процессоров продолжается. В частности, заплатки для семейства Intel Sandy Bridge и Ivy Bridge пребывают в состоянии бета-теста. Точно так же, хотя большая часть чипов Skylake получила обновления, микрокод Skylake Xeon E3 остаётся в статусе беты. В опубликованном ранее документе, Intel расписала планы по выпуску исправлений микрокода для других своих продуктов, начиная с 45-нм чипов вроде Core 2.

Intel на этой неделе также объяснила государственным органам США, почему она не сообщила Координационному центру CERT Департамента национальной безопасности страны о проблеме до того, как Google обнародовала информацию о Meltdown и Spectre вслед за утечкой через издание The Register. Отвечая на вопросы Комитета Палаты представителей США по энергетике и торговле, Intel заявила, что была намерена проинструктировать правительство до запланированного публичного раскрытия 9 января, но планы были сорваны из-за утечки информации раньше срока.

«Компьютерная команда экстренной готовности США (US-CERT) была впервые проинформирована об этих уязвимостях посредством публичного раскрытия информации 3 января 2018 года. Intel оперативно обсудила это разглашение с US-CERT в тот же день и снова двумя днями спустя, 5 января 2018 года», — сказано в сообщении. Intel также заявила, что с момента обнаружения потенциальных уязвимостей и до их обнародования, информацией о них обменивалась только с Google, Apple, Microsoft и ARM, что вполне соответствует отраслевым стандартам реагирования на подобные инциденты.

Microsoft выпустила прошивку для Surface Pro 3 против Spectre

Обнаруженные специалистами Google Project Zero уязвимости Meltdown и Spectre, вызванные аппаратными особенностями работы блока предсказания ветвлений в современных процессорах, стали большой проблемой для индустрии. Они требуют обновления не только операционных систем, но также драйверов, браузеров, компиляторов, антивирусов и даже микрокода.

Вслед за выпуском Intel обновлений микрокода для её последних процессоров ряд производителей стали предлагать свежие прошивки. В частности, Microsoft представила соответствующее обновление для планшетов Surface Pro 3 — по словам производителя, UEFI 3.11.2350.0 призвано закрыть потенциальные дыры в безопасности, включая Meltdown и Spectre.

Владельцы Surface Pro 3 могут установить обновление для своего устройства через процедуру Windows Update или вручную загрузить его из раздела драйверов и прошивок на официальном сайте Microsoft. Любопытно, что планшет Surface Pro 3 оснащался в своё время процессорами с архитектурой Haswell, а Intel ещё официально не выпустила исправленное обновление микрокода для этих чипов. Видимо, Microsoft уже вполне уверена в стабильности ещё тестируемой версии.

Владельцам этих устройств не в первый раз приходится обновлять прошивку, чтобы избавиться избавления от существенных проблем. Например, в 2016 году Microsoft после череды жалоб на работу аккумулятора и трудностей с исправлением ошибки представила новую прошивку, после которой время автономной работы Surface Pro 3 вернулось к нормальному уровню.

window-new
Soft
Hard
Тренды 🔥