Informationssäkerhetsexperter har upptäckt en ny sårbarhet i Intel-chips som kan användas för att stjäla känslig information direkt från processorn. Forskarna kallade det "ZombieLoad". ZombieLoad är en sida-vid-sida-attack riktad mot Intel-chips som gör det möjligt för hackare att effektivt utnyttja ett fel i sin arkitektur för att erhålla godtycklig data, men den tillåter dem inte att injicera och exekvera godtycklig skadlig kod, och därmed använda den som det enda verktyget för intrång och hacking. fjärrdatorer är inte möjligt.
Enligt Intel består ZombieLoad av fyra buggar i mikrokoden på dess chips, vilket forskare rapporterade till företaget för bara en månad sedan. Nästan alla datorer med Intel-chip som släppts sedan 2011 är sårbara för sårbarheten. ARM- och AMD-chips påverkas inte av denna sårbarhet.
ZombieLoad påminner om Meltdown och Spectre, som var sensationella förr, som utnyttjade en bugg i det spekulativa (förhands) kommandoexekveringssystemet. Spekulativ exekvering hjälper processorer att i viss utsträckning förutsäga vad en applikation eller ett operativsystem kan behöva inom en snar framtid, vilket gör att applikationen körs snabbare och mer effektivt. Processorn kommer att returnera resultaten av sina förutsägelser om de är korrekta, eller återställa exekveringsresultaten om förutsägelsen är falsk. Både Meltdown och Spectre utnyttjar möjligheten att missbruka denna funktion för att få direkt tillgång till informationen som processorn hanterar.
ZombieLoad översätts som "zombie loading", vilket delvis förklarar mekanismen för sårbarheten. Under attacken matas processorn mer data än den kan hantera på rätt sätt, vilket gör att processorn begär hjälp från mikrokoden för att förhindra en krasch. Vanligtvis kan applikationer bara se sina egna data, men en bugg som orsakas av CPU-överbelastning låter dig kringgå denna begränsning. Forskarna uppgav att ZombieLoad kan erhålla all data som används av processorkärnorna. Intel säger att mikrokodfixen kommer att hjälpa till att rensa processorbuffertar när de är överbelastade, vilket förhindrar applikationer från att läsa data som de inte var avsedda att läsa.
I en videodemonstration av hur sårbarheten fungerar visade forskarna att den kan användas för att ta reda på vilka webbplatser en person besöker i realtid, men den kan lika gärna användas för att skaffa till exempel lösenord eller åtkomsttokens som används av användare för betalningstransaktioner
Liksom Meltdown och Spectre påverkar ZombieLoad inte bara datorer och bärbara datorer, utan även molnservrar. Sårbarheten kan utnyttjas på virtuella maskiner som måste isoleras från andra virtuella system och deras värdenheter för att eventuellt kringgå denna isolering. Daniel Gruss, en av forskarna som upptäckt sårbarheten, hävdar alltså att den kan läsa data från serverprocessorer på samma sätt som på persondatorer. Detta är ett potentiellt allvarligt problem i molnmiljöer där olika klienters virtuella maskiner körs på samma serverhårdvara. Även om attacker med ZombieLoad aldrig har rapporterats offentligt kan forskare inte utesluta att de kunde ha ägt rum, eftersom datastöld inte alltid lämnar några spår.
Vad betyder detta för den genomsnittliga användaren? Det finns ingen anledning att få panik. Detta är långt ifrån en exploatering eller en nolldagarssårbarhet där en angripare kan ta över din dator på ett ögonblick. Gruss förklarar att ZombieLoad är "lättare än Spectre" men "svårare än Meltdown" - som båda kräver en viss färdighet och ansträngning att använda offensivt. Faktum är att för att utföra en attack med ZombieLoad måste du på något sätt ladda ner den infekterade applikationen och köra den själv, då kommer sårbarheten att hjälpa angriparen att ladda ner all din data. Det finns dock mycket enklare sätt att hacka sig in i en dator och stjäla dem.
Intel har redan släppt mikrokod för att patcha påverkade processorer, inklusive Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake och Haswell-chips, Intel Kaby Lake, Coffee Lake, Whiskey Lake och Cascade Lake-chips, samt alla Atom- och Knights-processorer. Andra stora företag har också släppt en fix för sårbarheten från sin sida. Apple, Microsoft och Google har också redan släppt motsvarande patchar för sin webbläsare.
I en intervju med TechCrunch sa Intel att uppdateringar av chipmikrokod, liksom tidigare patchar, kommer att påverka processorns prestanda. En talesperson för Intel sa att de flesta korrigerade konsumentenheter kan drabbas av en prestandaförlust i värsta fall på 3 %, med upp till 9 % förlust för datacenter. Men enligt Intel kommer detta knappast att märkas i de flesta scenarier.
Apples ingenjörer är dock helt oense med Intel, som om metoden för fullständigt skydd mot "Microarchitectural Data Sampling" (officiellt namn ZombieLoad) hävdar de att för att helt stänga sårbarheten är det nödvändigt att helt inaktivera Intel Hyper-Threading-teknik i processorer, vilket, enligt tester av Apple-specialister, kan minska prestanda för användarenheter i ett antal uppgifter med 40 % .
Varken Intel eller Daniel och hans team har publicerat koden som implementerar sårbarheten, så det finns inget direkt och omedelbart hot mot den genomsnittliga användaren. Och omedelbart släppta patchar eliminerar det helt, men med tanke på att varje sådan fix kostar användarna vissa prestandaförluster, uppstår vissa frågor för Intel.
Källa: 3dnews.ru