Bilgi güvenliği uzmanları, Intel çiplerinde hassas bilgilerin doğrudan işlemciden çalınması için kullanılabilecek yeni bir güvenlik açığı keşfetti. Araştırmacılar buna "ZombieLoad" adını verdiler. ZombieLoad, bilgisayar korsanlarının rastgele veri elde etmek için mimarilerindeki bir kusurdan etkili bir şekilde yararlanmasına olanak tanıyan, Intel çiplerini hedef alan bir yan yana saldırıdır, ancak onların rastgele kötü amaçlı kod enjekte etmesine ve yürütmesine izin vermez, dolayısıyla bunu tek araç olarak kullanır. uzak bilgisayarlara izinsiz giriş ve hackleme mümkün değildir.
Intel'e göre ZombieLoad, araştırmacıların şirkete sadece bir ay önce bildirdiği çiplerinin mikro kodunda dört hata içeriyor. 2011'den bu yana piyasaya sürülen Intel yongalarına sahip neredeyse tüm bilgisayarlar bu güvenlik açığına karşı savunmasızdır. ARM ve AMD çipleri bu güvenlik açığından etkilenmez.
ZombieLoad, geçmişte sansasyonel olan ve spekülatif (ileri) komut yürütme sistemindeki bir hatadan yararlanan Meltdown ve Spectre'ı anımsatıyor. Spekülatif yürütme, işlemcilerin bir uygulamanın veya işletim sisteminin yakın gelecekte neye ihtiyaç duyabileceğini belirli bir dereceye kadar tahmin etmesine yardımcı olarak uygulamanın daha hızlı ve daha verimli çalışmasını sağlar. İşlemci, tahminlerin doğru olması durumunda sonuçlarını döndürür veya tahminin yanlış olması durumunda yürütme sonuçlarını sıfırlar. Hem Meltdown hem de Spectre, işlemcinin işlediği bilgilere doğrudan erişim sağlamak için bu özelliği kötüye kullanma yeteneğinden yararlanıyor.
ZombieLoad, "zombi yükleme" olarak tercüme edilir ve bu da güvenlik açığının mekanizmasını kısmen açıklar. Saldırı sırasında işlemciye düzgün bir şekilde işleyebileceğinden daha fazla veri beslenir ve işlemcinin çökmeyi önlemek için mikro koddan yardım istemesine neden olur. Tipik olarak uygulamalar yalnızca kendi verilerini görebilir, ancak CPU'nun aşırı yüklenmesinden kaynaklanan bir hata bu sınırlamayı atlamanıza olanak tanır. Araştırmacılar, ZombieLoad'un işlemci çekirdeklerinin kullandığı her türlü veriyi elde edebildiğini belirtti. Intel, mikro kod düzeltmesinin aşırı yüklendiğinde işlemci arabelleklerini temizlemeye yardımcı olacağını ve uygulamaların okuması amaçlanmayan verileri okumasını önleyeceğini söylüyor.
Güvenlik açığının nasıl çalıştığını gösteren bir video gösteriminde araştırmacılar, bunun bir kişinin gerçek zamanlı olarak hangi web sitelerini ziyaret ettiğini bulmak için kullanılabileceğini, ancak aynı zamanda örneğin şifreleri veya kullanılan erişim belirteçlerini elde etmek için de kullanılabileceğini gösterdi. ödeme işlemleri için kullanıcılar tarafından.
Meltdown ve Spectre gibi ZombieLoad da yalnızca PC'leri ve dizüstü bilgisayarları değil aynı zamanda bulut sunucularını da etkiliyor. Bu güvenlik açığından, bu izolasyonu potansiyel olarak atlamak için diğer sanal sistemlerden ve bunların ana cihazlarından izole edilmesi gereken sanal makinelerde yararlanılabilir. Böylece açığı keşfeden araştırmacılardan Daniel Gruss, kişisel bilgisayarlarda olduğu gibi sunucu işlemcilerinden de veri okuyabildiğini iddia ediyor. Bu, farklı istemcilerin sanal makinelerinin aynı sunucu donanımında çalıştığı bulut ortamlarında potansiyel olarak ciddi bir sorundur. ZombieLoad kullanan saldırılar hiçbir zaman kamuya açıklanmamasına rağmen, veri hırsızlığı her zaman herhangi bir iz bırakmadığından araştırmacılar bu saldırıların gerçekleşmiş olabileceğini göz ardı edemez.
Bu ortalama bir kullanıcı için ne anlama geliyor? Paniğe gerek yok. Bu, bir saldırganın bilgisayarınızı anında ele geçirebileceği bir istismar veya sıfır gün güvenlik açığından çok uzaktır. Gruss, ZombieLoad'un "Spectre'dan daha kolay" ama "Meltdown'dan daha zor" olduğunu açıklıyor; her ikisi de belirli bir beceri seti ve hücumda kullanmak için çaba gerektiriyor. Aslında ZombieLoad kullanarak bir saldırı gerçekleştirmek için, bir şekilde virüslü uygulamayı indirip kendiniz çalıştırmalısınız, ardından güvenlik açığı, saldırganın tüm verilerinizi indirmesine yardımcı olacaktır. Ancak bir bilgisayara girip onu çalmanın çok daha kolay yolları var.
Intel, Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake ve Haswell yongaları, Intel Kaby Lake, Coffee Lake, Whiskey Lake ve Cascade Lake yongalarının yanı sıra tüm Atom ve Knights işlemcileri de dahil olmak üzere etkilenen işlemcilere yama uygulamak için mikro kodu zaten yayınladı. Diğer büyük şirketler de bu güvenlik açığına yönelik bir düzeltme yayınladı. Apple, Microsoft ve Google da tarayıcıları için ilgili yamaları zaten yayınladı.
TechCrunch ile yaptığı röportajda Intel, önceki yamalar gibi çip mikro kodundaki güncellemelerin de işlemci performansını etkileyeceğini söyledi. Bir Intel sözcüsü, yama uygulanmış tüketici cihazlarının çoğunun en kötü durumda %3 performans kaybına uğrayabileceğini, veri merkezlerinde ise %9'a varan bir kayıp yaşanabileceğini söyledi. Ancak Intel'e göre bunun çoğu senaryoda fark edilmesi pek mümkün değil.
Ancak Apple mühendisleri Intel ile tamamen aynı fikirde değiller. "Mikromimari Veri Örnekleme"ye (resmi adı ZombieLoad) karşı tam koruma yöntemi hakkında, güvenlik açığını tamamen kapatmak için işlemcilerdeki Intel Hyper-Threading teknolojisinin tamamen devre dışı bırakılması gerektiğini ve Apple uzmanları tarafından yapılan testlere göre bunun azaltılabileceğini iddia ediyorlar. Kullanıcı cihazlarının bir dizi görevdeki performansı %40 oranında artar.
Ne Intel ne de Daniel ve ekibi bu güvenlik açığını uygulayan kodu yayınlamadı, dolayısıyla ortalama kullanıcıya yönelik doğrudan ve acil bir tehdit bulunmuyor. Derhal yayımlanan yamalar bunu tamamen ortadan kaldırıyor, ancak bu tür düzeltmelerin her birinin kullanıcılara belirli performans kayıplarına neden olduğu göz önüne alındığında, Intel için bazı sorular ortaya çıkıyor.
Kaynak: 3dnews.ru