Információbiztonsági szakértők új sérülékenységet fedeztek fel az Intel chipekben, amelyek segítségével érzékeny információk közvetlenül a processzorból lophatók el. A kutatók "ZombieLoad"-nak nevezték el. A ZombieLoad egy párhuzamos támadás, amely Intel chipeket céloz meg, és lehetővé teszi a hackerek számára, hogy hatékonyan kihasználják az architektúra hibáját tetszőleges adatok megszerzésére, de nem teszi lehetővé számukra tetszőleges rosszindulatú kódok beszúrását és futtatását, így ez az egyetlen eszköz behatolás és hackelés. távoli számítógépek nem lehetséges.
Az Intel szerint a ZombieLoad négy hibából áll a chipek mikrokódjában, amelyekről a kutatók alig egy hónapja jelentettek a cégnek. Szinte az összes 2011 óta kiadott Intel chippel rendelkező számítógép ki van téve a biztonsági résnek. Az ARM és AMD chipeket nem érinti ez a biztonsági rés.
A ZombieLoad a múltban szenzációsnak számító Meltdown és Specterre emlékeztet, amelyek kihasználták a spekulatív (előzetes) parancsvégrehajtási rendszer hibáját. A spekulatív végrehajtás segít a processzoroknak bizonyos mértékig megjósolni, hogy egy alkalmazásnak vagy operációs rendszernek mire lehet szüksége a közeljövőben, így az alkalmazás gyorsabban és hatékonyabban futhat. A processzor visszaadja az előrejelzéseinek eredményeit, ha azok helyesek, vagy visszaállítja a végrehajtási eredményeket, ha az előrejelzés hamis. A Meltdown és a Spectre is kihasználja a funkcióval való visszaélés lehetőségét, hogy közvetlen hozzáférést kapjon a processzor által kezelt információkhoz.
A ZombieLoad „zombie loading”-nak felel meg, ami részben megmagyarázza a sérülékenység mechanizmusát. A támadás során a processzor több adatot kap, mint amennyit megfelelően kezelni tud, ezért a processzor segítséget kér a mikrokódtól, hogy megakadályozza az összeomlást. Az alkalmazások általában csak a saját adataikat láthatják, de a CPU túlterhelés okozta hiba lehetővé teszi ennek a korlátozásnak a megkerülését. A kutatók kijelentették, hogy a ZombieLoad képes megszerezni a processzormagok által használt bármilyen adatot. Az Intel szerint a mikrokódjavítás segít a processzor puffereinek kiürítésében túlterhelt állapotban, megakadályozva, hogy az alkalmazások olyan adatokat olvassanak el, amelyeket nem kellett volna elolvasniuk.
A sérülékenység működését bemutató videóban a kutatók megmutatták, hogy a segítségével valós időben meg lehet tudni, hogy egy személy mely webhelyeket keresi fel, de ugyanilyen könnyen használható például a használt jelszavak vagy hozzáférési token megszerzésére. felhasználók által fizetési tranzakciókhoz
A Meltdownhoz és a Specterhez hasonlóan a ZombieLoad is nemcsak a PC-ket és laptopokat érinti, hanem a felhőszervereket is. A biztonsági rést olyan virtuális gépeken lehet kihasználni, amelyeket el kell különíteni más virtuális rendszerektől és gazdaeszközeiktől, hogy elkerüljék ezt az elszigeteltséget. Így Daniel Gruss, a sérülékenységet felfedező kutatók egyike azt állítja, hogy ugyanúgy képes kiolvasni a szerver processzoraiból származó adatokat, mint a személyi számítógépeken. Ez potenciálisan komoly probléma felhőkörnyezetekben, ahol különböző kliensek virtuális gépei futnak ugyanazon a szerverhardveren. Bár a ZombieLoad-ot használó támadásokról soha nem számoltak be nyilvánosan, a kutatók nem zárhatják ki, hogy megtörténhettek, hiszen az adatlopás nem mindig hagy nyomot.
Mit jelent ez egy átlagos felhasználó számára? Nem kell pánikba esni. Ez messze nem egy kihasználás vagy egy nulladik napi sebezhetőség, ahol a támadó egy pillanat alatt átveheti a számítógépét. Gruss elmagyarázza, hogy a ZombieLoad "könnyebb, mint a Spectre", de "nehezebb, mint a Meltdown" - mindkettő bizonyos készségkészletet és erőfeszítést igényel a támadó használathoz. Valójában a ZombieLoad használatával történő támadás végrehajtásához valahogy le kell töltenie a fertőzött alkalmazást, és saját magának kell futtatnia, akkor a biztonsági rés segít a támadónak letölteni az összes adatot. Vannak azonban sokkal egyszerűbb módszerek a számítógépek feltörésére és ellopására.
Az Intel már kiadott mikrokódot az érintett processzorok javításához, beleértve az Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake és Haswell chipeket, Intel Kaby Lake, Coffee Lake, Whiskey Lake és Cascade Lake chipeket, valamint az összes Atom és Knights processzort. Más nagyvállalatok is kiadtak egy javítást a sérülékenységre a maguk részéről. Az Apple, a Microsoft és a Google is kiadta már a megfelelő javításokat böngészőjéhez.
A TechCrunchnak adott interjújában az Intel azt mondta, hogy a chip mikrokód frissítései a korábbi javításokhoz hasonlóan hatással lesznek a processzor teljesítményére. Az Intel szóvivője szerint a legtöbb javított fogyasztói eszköz a legrosszabb esetben 3%-os teljesítményveszteséget szenvedhet el, az adatközpontok pedig akár 9%-ot is. De az Intel szerint ez a legtöbb forgatókönyvben valószínűleg nem lesz észrevehető.
Az Apple mérnökei azonban teljesen nem értenek egyet az Intellel, aki a „Microarchitectural Data Sampling” (hivatalos nevén ZombieLoad) elleni teljes védelem módszeréről azt állítják, hogy a sérülékenység teljes bezárásához teljesen le kell tiltani a processzorokban az Intel Hyper-Threading technológiát, ami az Apple szakembereinek tesztjei szerint csökkentheti a felhasználói eszközök teljesítménye számos feladatban 40%-kal.
Sem az Intel, sem Daniel és csapata nem tette közzé a sérülékenységet megvalósító kódot, így az átlagfelhasználót nem fenyegeti közvetlen és azonnali veszély. Az azonnal kiadott javítások pedig teljesen megszüntetik, de mivel minden ilyen javítás bizonyos teljesítményveszteségekkel jár a felhasználóknak, felmerül néhány kérdés az Intel számára.
Forrás: 3dnews.ru