¿Cuántas vulnerabilidades de alto riesgo están expuestas en los chips Intel?

El 4 de octubre de 65438, instituciones extranjeras de investigación de seguridad anunciaron dos conjuntos de vulnerabilidades de CPU: Meltdown y Spectre.

Aunque no se han encontrado ataques a nivel internacional que realmente aprovechen la vulnerabilidad, en teoría, se puede acceder de forma maliciosa a todas las CPU que pueden acceder a la memoria virtual, y se deben proteger contraseñas importantes, claves de aplicaciones, etc. también en riesgo.

A juzgar por la situación actual, la mayoría de los procesadores producidos en masa desde 1995 pueden verse afectados por las vulnerabilidades mencionadas anteriormente e involucran a la mayoría de los sistemas operativos de propósito general. Aunque Intel domina, la mayoría de los chips de procesadores convencionales, como ARM y AMD, también se ven afectados por vulnerabilidades. En consecuencia, los sistemas operativos convencionales como Windows, Linux, macOS, Android y los dispositivos terminales como computadoras, tabletas, teléfonos móviles y servidores en la nube que utilizan estos chips se ven afectados por las vulnerabilidades mencionadas anteriormente.

Desafortunadamente, Intel no puede resolver esta vulnerabilidad mediante actualizaciones de firmware, lo que ha llevado a desarrolladores de sistemas operativos como Microsoft y Apple a buscar métodos de parcheo.

El 4 de junio de 65438, la base de datos nacional de vulnerabilidades de China registró estas dos vulnerabilidades y las calificó como de "alto riesgo".

Posteriormente, los departamentos de seguridad de la red local emitieron recordatorios de seguridad. El 5 de octubre de 65438, la Administración del Ciberespacio de Shanghai de China emitió un aviso de alerta temprana a los supervisores de infraestructura de información crítica y a las unidades operativas de la ciudad, exigiendo a todas las unidades que activaran planes de emergencia de seguridad de la red y tomaran contramedidas.

Los expertos en ciberseguridad dijeron que aunque la vulnerabilidad tiene un amplio impacto y ha atraído la atención mundial, los más afectados son los proveedores de servicios en la nube, y los usuarios comunes y corrientes no deberían entrar en pánico.

P: ¿Cómo se explota la vulnerabilidad?

En circunstancias normales, los programas normales no pueden leer los datos almacenados por otros programas, pero los programas maliciosos pueden usar Meltdown y Spectre para obtener información privada almacenada en la memoria de otros programas en ejecución.

Específicamente, los expertos del equipo de seguridad de Tencent Computer Manager le dijeron a este periodista: Al utilizar la vulnerabilidad Meltdown, los usuarios con pocos privilegios pueden acceder al contenido del kernel y obtener la información subyacente del sistema operativo local cuando el; el usuario navega Cuando un servidor accede a un sitio web que contiene el programa de explotación malicioso Spectre, la información de privacidad personal del usuario, como el número de cuenta, la contraseña y la dirección de correo electrónico, puede filtrarse en un escenario de servicio en la nube, Spectre puede romper el aislamiento entre los usuarios y robar; datos de otros usuarios.

En la actualidad, se ha publicado el código de verificación de vulnerabilidad (PoC) y los detalles técnicos no se repetirán aquí. De hecho, el equipo de seguridad de Tencent ha verificado que esta vulnerabilidad puede leer con éxito el contenido de cualquier dirección de memoria especificada en sistemas operativos como Windows, Linux y Mac OS.

P: ¿Cuál es el principio de vulnerabilidad?

Estos dos conjuntos de vulnerabilidades provienen de nuevas características introducidas por los fabricantes de chips para mejorar el rendimiento de la CPU.

Para mejorar el rendimiento del procesamiento, las CPU modernas utilizarán ejecución desordenada y ejecución predictiva. La ejecución desordenada significa que la CPU no ejecuta instrucciones en un orden estricto, sino que agrupa las instrucciones en paralelo según la correlación y finalmente resume los resultados de cada grupo de instrucciones. La ejecución predictiva significa que la CPU predice el resultado de una determinada condición en función de la información disponible actualmente y luego selecciona la rama correspondiente para ejecutar de antemano.

Ejecución fuera de orden y ejecución predictiva Cuando se encuentra una excepción o se descubre un error de predicción de rama, la CPU descartará los resultados de la ejecución anterior y restaurará el estado de la CPU al estado correcto antes de salir. -ejecución de orden o ejecución predictiva, y luego seleccione la instrucción correcta adecuada para continuar con la ejecución. Este mecanismo de manejo de excepciones garantiza la ejecución correcta del programa, pero el problema es que el contenido de la memoria caché de la CPU no se restaurará cuando la CPU se recupere. Estos dos conjuntos de vulnerabilidades explotan este defecto de diseño para realizar ataques de medición de canales.

P: ¿Por qué se ocultó esta impactante vulnerabilidad durante tanto tiempo?

La vulnerabilidad fue descubierta por investigadores de seguridad al menos a principios de 2016, pero Intel finalmente no reconoció la falla hasta principios de este año. El Wall Street Journal citó a expertos en seguridad diciendo que Intel hizo un trabajo terrible al revelar el incidente.

En agosto de 2016, en la conferencia de ciberseguridad Black Hat en Las Vegas, dos investigadores, Anders Fogh y Daniel Gruss, mostraron los primeros signos de la vulnerabilidad. Fogg también publicó una entrada en un blog sobre el tema en julio pasado, animando a otros investigadores a investigar.

Al mismo tiempo, Jann Horn de Project Zero, el equipo de investigación de seguridad interna de Google, descubrió el problema y notificó a Intel. Finalmente, otros tres grupos de investigación de todo el mundo se pusieron en contacto con Intel sobre el mismo problema, e Intel posteriormente se comunicó con ellos y escribió artículos.

Pero la falla del chip se remonta al menos a 2010, y los principios arquitectónicos comunes que conducen a ella tienen décadas de antigüedad. Entonces, ¿por qué Intel no descubrió la vulnerabilidad antes? Intel no respondió directamente a esta pregunta.

El Dr. Meng Kui de la Escuela de Seguridad del Ciberespacio de la Universidad Jiao Tong de Shanghai dijo que puede haber dos razones para el estallido total de esta vulnerabilidad de seguridad en este momento. La primera es que la eficiencia de reparación de Intel es baja y el progreso es demasiado lento, lo que ejerce presión sobre la industria; en segundo lugar, debido a la filtración a largo plazo de información sobre vulnerabilidades, puede ser aprovechada por los atacantes; Por lo tanto, se deben tomar medidas inmediatas. "

P: ¿Hay informes de ataques maliciosos?

Los proveedores de seguridad como Tencent y 360 han declarado que no han encontrado ningún caso conocido de explotación de estas vulnerabilidades.

El Centro Nacional de Seguridad Cibernética británico declaró que no hay pruebas de que Meltdown y Spectre se utilizaran para robar datos, pero la naturaleza de los ataques hizo que fueran difíciles de detectar.

Zheng Zheng, Gerente general de la División de Seguridad de 360 ​​Core y jefe del equipo de Vulcan, afirmó el periódico que aunque los atacantes pueden aprovechar esta vulnerabilidad para robar la privacidad, no pueden controlar la computadora, mejorar los privilegios ni romper el aislamiento del sistema virtualizado. La vulnerabilidad no se puede explotar de forma remota y el usuario no tiene nada similar a "Eternal Blue". La vulnerabilidad no se puede atacar durante la interacción.

Los expertos en seguridad de Tencent dijeron que aunque se han detallado los detalles de la vulnerabilidad y PoC. revelados, no se pueden aplicar directamente a ataques reales y todavía hay muchos detalles que deben resolverse. Actualmente no existe un código de explotación estable y común que pueda causar consecuencias graves obvias (robo de contraseñas de cuentas, etc.). p>

P: ¿Cuál es la solución al error?

El "Guardian" británico informó que debido a que la vulnerabilidad es causada por fallas de diseño subyacentes del chip, será muy complicado y difícil de reparar. para reparar perfectamente.

Zheng dijo que las vulnerabilidades del hardware de la CPU son difíciles de reparar solo a través de la CPU. Las actualizaciones de seguridad (como la actualización del microcódigo de la CPU) no pueden resolver este problema. fabricantes de sistemas, fabricantes de virtualización, proveedores de software y hardware, fabricantes de navegadores y fabricantes de CPU, lo cual es complejo y extremadamente profundo. Sólo las modificaciones pueden resolver completamente el problema.

Una vez expuesta la vulnerabilidad, los fabricantes de chips. , los fabricantes de sistemas operativos, fabricantes de navegadores y fabricantes de servicios en la nube respondieron uno tras otro, tomaron medidas activamente, emitieron boletines de seguridad y lanzaron medidas de mitigación y parches de manera oportuna.

Intel recomienda prestar atención a los conjuntos de chips posteriores. actualizaciones y actualizaciones del BIOS de la placa base Linux lanzó KAISER para la vulnerabilidad de fusión; MacOS se corrigió desde 10.13.2; Google dijo que se corrigió Win10 Insider a fines del año pasado; que se instalará automáticamente; Amazon AWS anunció posteriormente un plan de orientación; para la vulnerabilidad Spectre más difícil, el fabricante aún está resolviendola

En respuesta a esta vulnerabilidad, la Administración del Ciberespacio de China tomó medidas. La primera es seguir de cerca la situación más reciente de la vulnerabilidad y evaluar rápidamente el impacto de la vulnerabilidad en el sistema de la unidad. La segunda es rastrear y probar rápidamente los parches lanzados por los fabricantes de chips, los fabricantes de sistemas operativos y los proveedores de seguridad. y formular un plan de trabajo de reparación basado en una evaluación integral y prudente e instalarlo de manera oportuna. El tercero es fortalecer aún más la protección de la seguridad de la red de la infraestructura de información crítica, fortalecer la protección de la seguridad de la red y la recopilación de inteligencia sobre amenazas, e informar sobre la seguridad de la red. incidentes a la Oficina Municipal de Asuntos del Ciberespacio de manera oportuna.

P: ¿Cómo previenen los usuarios comunes las vulnerabilidades?

Actualmente, los internautas pueden protegerse a través de las siguientes estrategias de seguridad:

1. Actualizar a los últimos parches del sistema operativo y del software de virtualización: actualmente Microsoft, Linux, MacOSX, XEN, etc. Se han lanzado los parches del sistema correspondientes, que pueden evitar que estas vulnerabilidades sean explotadas después de la actualización;

2. Actualice a los parches del navegador más recientes: actualmente, Microsoft IE, Edge y Firefox han lanzado parches para el navegador. Al actualizar, puede evitar que se exploten estas vulnerabilidades;

3. Espere o solicite a su proveedor de servicios en la nube que actualice los parches del sistema de virtualización de manera oportuna;

4. .

Los expertos en seguridad de Tencent afirman que el principal daño que puede causar esta vulnerabilidad es el uso de un navegador para acceder a páginas web con códigos de explotación, lo que lleva a la filtración de información sensible (contraseñas de cuentas, etc.). ). Siempre que desarrolle buenos hábitos en Internet y no haga clic fácilmente en enlaces enviados por extraños, básicamente no se verá afectado por las vulnerabilidades. Al mismo tiempo, los parches y las medidas de mitigación lanzadas por los navegadores para las vulnerabilidades son simples y efectivos y no causarán degradación del rendimiento ni problemas de compatibilidad. Los usuarios pueden optar por actualizar su navegador a la última versión para evitar vulnerabilidades.

P: ¿Es cierto que "la aplicación de parches provocará una pérdida de rendimiento de la CPU del 30%"?

La revisión en sí tiene muchos problemas.

Según los expertos en seguridad de Tencent, tomando Windows 10 como ejemplo, Microsoft lanzó con urgencia la actualización de seguridad del sistema 1 en la madrugada del 4 de octubre, hora de Beijing, pero el parche tenía problemas obvios de rendimiento y compatibilidad: 1. Por otro lado, la actualización puede ralentizar el rendimiento de los sistemas afectados hasta en un 30%. Por otro lado, las actualizaciones pueden provocar que algún software (software de seguridad, etc.) sea incompatible, provocando una pantalla azul en el sistema.

Sin embargo, según las pruebas reales realizadas por el equipo de seguridad de Tencent, los problemas de rendimiento tienen poco impacto en los usuarios comunes: los problemas de rendimiento obvios sólo aparecerán bajo pruebas extremas, pero generalmente no ocurrirán durante el uso normal;

360 Zheng también dijo que esta afirmación es unilateral y que la pérdida de rendimiento del 30 % se produjo en condiciones de prueba extremadamente especiales. La pérdida de rendimiento de estos parches es casi insignificante para los usuarios promedio, especialmente cuando el hardware de su computadora es relativamente nuevo (como la mayoría de las computadoras y portátiles Mac a la venta y los sistemas operativos X86 de 32 bits). A continuación, fabricantes como Microsoft e Intel lanzarán más parches específicos para reducir aún más la pérdida de rendimiento de los parches.

Sin embargo, el equipo de seguridad de Tencent recuerda que el problema de compatibilidad es realmente grave: en ordenadores equipados con software de seguridad y algunos juegos, es más probable que aparezcan pantallazos azules al instalar parches. Esto también ha llevado a muchos proveedores de seguridad a adoptar una estrategia más conservadora y no impulsar activamente los parches de Microsoft por el momento para evitar que las computadoras de los usuarios no funcionen correctamente.