Informasjonssikkerhetseksperter har oppdaget en ny sårbarhet i Intel-brikker som kan brukes til å stjele sensitiv informasjon direkte fra prosessoren. Forskerne kalte det "ZombieLoad". ZombieLoad er et side-ved-side-angrep rettet mot Intel-brikker som lar hackere effektivt utnytte en feil i arkitekturen deres for å få tak i vilkårlige data, men som ikke tillater dem å injisere og utføre vilkårlig ondsinnet kode, og dermed bruke den som det eneste verktøyet for inntrenging og hacking. eksterne datamaskiner er ikke mulig.
Ifølge Intel består ZombieLoad av fire feil i mikrokoden til brikkene, som forskere rapporterte til selskapet for bare en måned siden. Nesten alle datamaskiner med Intel-brikker utgitt siden 2011 er sårbare for sårbarheten. ARM- og AMD-brikker påvirkes ikke av dette sikkerhetsproblemet.
ZombieLoad minner om Meltdown og Spectre, som var oppsiktsvekkende tidligere, som utnyttet en feil i systemet med spekulativ (forhånds) kommandoutførelse. Spekulativ utførelse hjelper prosessorer til en viss grad å forutsi hva en applikasjon eller et operativsystem kan trenge i nær fremtid, noe som gjør at applikasjonen kjører raskere og mer effektivt. Prosessoren vil returnere resultatene av sine spådommer hvis de er korrekte, eller tilbakestille utførelsesresultatene hvis prediksjonen er falsk. Både Meltdown og Spectre utnytter muligheten til å misbruke denne funksjonen for å få direkte tilgang til informasjonen prosessoren håndterer.
ZombieLoad oversettes som "zombie loading", som delvis forklarer mekanismen for sårbarheten. Under angrepet mates prosessoren mer data enn den kan håndtere riktig, noe som får prosessoren til å be om hjelp fra mikrokoden for å forhindre krasj. Vanligvis kan applikasjoner bare se sine egne data, men en feil forårsaket av CPU-overbelastning lar deg omgå denne begrensningen. Forskerne uttalte at ZombieLoad er i stand til å skaffe alle data som brukes av prosessorkjernene. Intel sier at mikrokodefiksen vil hjelpe til med å tømme prosessorbuffere når de er overbelastet, og forhindrer applikasjoner i å lese data de ikke var ment å lese.
I en videodemonstrasjon av hvordan sårbarheten fungerer, viste forskerne at den kan brukes til å finne ut hvilke nettsider en person besøker i sanntid, men den kan like gjerne brukes til å få tak i for eksempel passord eller tilgangstokener som brukes av brukere for betalingstransaksjoner
Som Meltdown og Spectre påvirker ZombieLoad ikke bare PC-er og bærbare datamaskiner, men også skyservere. Sårbarheten kan utnyttes på virtuelle maskiner som må isoleres fra andre virtuelle systemer og deres vertsenheter for å potensielt omgå denne isolasjonen. Dermed hevder Daniel Gruss, en av forskerne som oppdaget sårbarheten, at den kan lese data fra serverprosessorer på samme måte som på personlige datamaskiner. Dette er et potensielt alvorlig problem i skymiljøer der forskjellige klienters virtuelle maskiner kjører på samme servermaskinvare. Selv om angrep med ZombieLoad aldri har blitt rapportert offentlig, kan forskerne ikke utelukke at de kan ha funnet sted, siden datatyveri ikke alltid setter spor.
Hva betyr dette for den gjennomsnittlige brukeren? Det er ingen grunn til panikk. Dette er langt fra en utnyttelse eller en null-dagers sårbarhet der en angriper kan ta over datamaskinen din på et øyeblikk. Gruss forklarer at ZombieLoad er "enklere enn Spectre", men "hardere enn Meltdown" - som begge krever et visst ferdighetssett og innsats for å bruke offensivt. Faktisk, for å utføre et angrep ved hjelp av ZombieLoad, må du på en eller annen måte laste ned den infiserte applikasjonen og kjøre den selv, da vil sårbarheten hjelpe angriperen med å laste ned alle dataene dine. Imidlertid er det mye enklere måter å hacke seg inn på en datamaskin og stjele dem på.
Intel har allerede gitt ut mikrokode for å lappe berørte prosessorer, inkludert Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake og Haswell-brikker, Intel Kaby Lake, Coffee Lake, Whiskey Lake og Cascade Lake-brikker, samt alle Atom- og Knights-prosessorer. Andre store selskaper har også gitt ut en løsning for sårbarheten fra deres side. Apple, Microsoft og Google har også allerede gitt ut tilsvarende oppdateringer for nettleseren deres.
I et intervju med TechCrunch sa Intel at oppdateringer til brikkemikrokode, som tidligere patcher, vil påvirke prosessorytelsen. En talsperson for Intel sa at de fleste lappede forbrukerenheter kan lide i verste fall ytelsestap på 3 %, med opptil 9 % tap for datasentre. Men ifølge Intel er dette neppe merkbart i de fleste scenarier.
Apple-ingeniører er imidlertid helt uenige med Intel, som om metoden for fullstendig beskyttelse mot "Microarchitectural Data Sampling" (offisielt navn ZombieLoad) hevder de at for å lukke sårbarheten fullstendig er det nødvendig å fullstendig deaktivere Intel Hyper-Threading-teknologi i prosessorer, som ifølge tester fra Apple-spesialister kan redusere ytelsen til brukerenheter i en rekke oppgaver med 40 % .
Verken Intel eller Daniel og teamet hans har publisert koden som implementerer sårbarheten, så det er ingen direkte og umiddelbar trussel mot den gjennomsnittlige brukeren. Og umiddelbart utgitte patcher eliminerer det fullstendig, men gitt at hver slik løsning koster brukerne visse tap i ytelse, oppstår noen spørsmål for Intel.
Kilde: 3dnews.ru