Tietoturvaasiantuntijat ovat havainneet Intel-siruista uuden haavoittuvuuden, jonka avulla voidaan varastaa arkaluonteisia tietoja suoraan prosessorista. Tutkijat kutsuivat sitä "ZombieLoadiksi". ZombieLoad on Intel-siruihin kohdistuva rinnakkainen hyökkäys, jonka avulla hakkerit voivat tehokkaasti hyödyntää arkkitehtuurissaan olevaa virhettä mielivaltaisten tietojen saamiseksi, mutta se ei salli heidän syöttää ja suorittaa mielivaltaista haittakoodia, jolloin se käyttää sitä ainoana työkaluna tunkeutuminen ja hakkerointi etätietokoneisiin ei ole mahdollista.
Intelin mukaan ZombieLoad koostuu neljästä virheestä sen sirujen mikrokoodissa, joista tutkijat ilmoittivat yhtiölle vain kuukausi sitten. Lähes kaikki Intel-siruilla varustetut tietokoneet, jotka on julkaistu vuodesta 2011 lähtien, ovat haavoittuvia. Tämä haavoittuvuus ei vaikuta ARM- ja AMD-siruihin.
ZombieLoad muistuttaa Meltdownia ja Spectrea, jotka olivat aiemmin sensaatiomaisia ja jotka hyödynsivät virhettä spekulatiivisen (ennakko) komennon suoritusjärjestelmässä. Spekulatiivinen suoritus auttaa prosessoreja ennustamaan tietyssä määrin, mitä sovellus tai käyttöjärjestelmä saattaa tarvita lähitulevaisuudessa, mikä tekee sovelluksesta nopeamman ja tehokkaamman. Prosessori palauttaa ennusteidensa tulokset, jos ne ovat oikein, tai nollaa suoritustulokset, jos ennuste on väärä. Sekä Meltdown että Spectre käyttävät hyväkseen mahdollisuutta käyttää tätä ominaisuutta väärin päästäkseen suoraan käsiksi prosessorin käsittelemiin tietoihin.
ZombieLoad tarkoittaa "zombie-latausta", mikä osittain selittää haavoittuvuuden mekanismin. Hyökkäyksen aikana prosessorille syötetään enemmän dataa kuin se pystyy käsittelemään kunnolla, jolloin prosessori pyytää apua mikrokoodilta estääkseen kaatumisen. Tyypillisesti sovellukset voivat nähdä vain omat tietonsa, mutta suorittimen ylikuormituksen aiheuttama bugi antaa sinun ohittaa tämän rajoituksen. Tutkijat totesivat, että ZombieLoad pystyy saamaan kaikki prosessoriytimien käyttämät tiedot. Intel sanoo, että mikrokoodikorjaus auttaa tyhjentämään prosessorin puskurit ylikuormitettuina, estäen sovelluksia lukemasta tietoja, joita niiden ei ollut tarkoitus lukea.
Haavoittuvuuden toimintaa esittelevässä videossa tutkijat osoittivat, että sen avulla voidaan selvittää reaaliajassa, millä verkkosivustoilla henkilö vierailee, mutta yhtä helposti sillä voidaan hankkia esimerkiksi käytetyt salasanat tai pääsytunnisteet. käyttäjien toimesta maksutapahtumia varten
Kuten Meltdown ja Spectre, ZombieLoad ei vaikuta vain tietokoneisiin ja kannettaviin tietokoneisiin, vaan myös pilvipalvelimiin. Haavoittuvuutta voidaan hyödyntää virtuaalikoneissa, jotka on eristettävä muista virtuaalijärjestelmistä ja niiden isäntälaitteista tämän eristyksen ohittamiseksi. Näin ollen Daniel Gruss, yksi haavoittuvuuden löytäneistä tutkijoista, väittää, että se pystyy lukemaan tietoja palvelinprosessoreista samalla tavalla kuin henkilökohtaisissa tietokoneissa. Tämä on mahdollisesti vakava ongelma pilviympäristöissä, joissa eri asiakkaiden virtuaalikoneet toimivat samalla palvelinlaitteistolla. Vaikka ZombieLoadilla tehdyistä hyökkäyksistä ei ole koskaan raportoitu julkisesti, tutkijat eivät voi sulkea pois niiden mahdollisuutta, sillä tietovarkaudet eivät aina jätä jälkiä.
Mitä tämä tarkoittaa keskivertokäyttäjälle? Ei ole syytä paniikkiin. Tämä ei ole kaukana hyväksikäytöstä tai nollapäivän haavoittuvuudesta, jossa hyökkääjä voi vallata tietokoneesi hetkessä. Gruss selittää, että ZombieLoad on "helppompi kuin Spectre" mutta "kovempi kuin Meltdown" - jotka molemmat vaativat tiettyä taitoa ja vaivaa käyttääkseen hyökkäävästi. Itse asiassa, jotta voit suorittaa hyökkäyksen ZombieLoadilla, sinun on jotenkin ladattava tartunnan saanut sovellus ja suoritettava se itse, jolloin haavoittuvuus auttaa hyökkääjää lataamaan kaikki tietosi. On kuitenkin paljon helpompia tapoja murtautua tietokoneeseen ja varastaa ne.
Intel on jo julkaissut mikrokoodin korjatakseen prosessorit, joita tämä koskee, mukaan lukien Intel Xeon-, Intel Broadwell-, Sandy Bridge-, Skylake- ja Haswell-sirut, Intel Kaby Lake-, Coffee Lake-, Whiskey Lake- ja Cascade Lake -sirut sekä kaikki Atom- ja Knights-prosessorit. Muut suuret yritykset ovat myös julkaisseet korjauksen haavoittuvuuteensa. Apple, Microsoft ja Google ovat myös jo julkaisseet vastaavat korjaustiedostot selaimeensa.
Intel sanoi TechCrunchin haastattelussa, että sirun mikrokoodin päivitykset, kuten aikaisemmat korjaukset, vaikuttavat prosessorin suorituskykyyn. Intelin tiedottaja sanoi, että useimmat korjatut kuluttajalaitteet voivat kärsiä pahimmassa tapauksessa 3 prosentin suorituskyvyn heikkenemisestä ja datakeskusten jopa 9 prosentin menetyksestä. Mutta Intelin mukaan tämä ei todennäköisesti ole havaittavissa useimmissa skenaarioissa.
Applen insinöörit ovat kuitenkin täysin eri mieltä Intelin kanssa täydellisestä suojausmenetelmästä "Microarchitectural Data Sampling" (virallinen nimi ZombieLoad) vastaan he väittävät, että haavoittuvuuden sulkemiseksi kokonaan on tarpeen poistaa kokonaan Intel Hyper-Threading -tekniikka käytöstä prosessoreissa, mikä Applen asiantuntijoiden testien mukaan voi vähentää käyttäjän laitteiden suorituskyky useissa tehtävissä 40 % .
Intel tai Daniel ja hänen tiiminsä eivät ole julkaisseet haavoittuvuuden toteuttavaa koodia, joten keskivertokäyttäjälle ei ole suoraa ja välitöntä uhkaa. Ja nopeasti julkaistut korjaustiedostot poistavat sen kokonaan, mutta koska jokainen tällainen korjaus maksaa käyttäjille tiettyjä suorituskyvyn menetyksiä, Intelille herää kysymyksiä.
Lähde: 3dnews.ru