Фахівці з інформаційної безпеки виявили нову вразливість у чіпах Intel, яку можна використовувати для крадіжки конфіденційної інформації безпосередньо із процесора. Дослідники назвали її "ZombieLoad". ZombieLoad - це атака побічного типу, націлена на чіпи Intel, що дозволяє хакерам ефективно використовувати недолік у їхній архітектурі для отримання довільних даних, але при цьому вона не дає можливості впровадити та виконати довільний шкідливий код, таким чином використовувати її як єдиний інструмент для вторгнення та злому віддалених комп'ютерів неможливо.
Як повідомляє Intel, ZombieLoad є чотири помилки в мікрокоді їх чіпів, про які дослідники повідомили компанії всього місяць тому. Уразливості схильні практично всі комп'ютери з чіпами Intel, випущеними починаючи з 2011 року. Чіпи ARM і AMD цієї вразливості не схильні.
ZombieLoad нагадує гучні в минулому Meltdown і Spectre, які використовували помилку в системі спекулятивного (випереджального) виконання команд. Спекулятивне виконання допомагає процесорам певною мірою передбачати, що може знадобитися додатку або операційній системі в найближчому майбутньому, завдяки чому програма працюватиме швидше та ефективніше. Процесор поверне результати своїх прогнозів, якщо вони виявляться вірними, або скине результати виконання, якщо прогноз виявився хибним. Як Meltdown, так і Spectre використовують можливість зловживання цією функцією, щоб отримати прямий доступ до інформації, якою оперує процесор.
ZombieLoad перекладається як "завантаження зомбі", що частково пояснює механізм уразливості. У ході проведення атаки в процесор подається така кількість даних, яку він не може обробити належним чином, змушуючи процесор вимагати допомоги у мікрокоду для запобігання збою. Зазвичай програми можуть бачити лише власні дані, але помилка, викликана перевантаженням процесора, дозволяє обійти це обмеження. Дослідники заявили, що ZombieLoad може отримати будь-які дані, використовувані ядрами процесора. Intel повідомляє, що виправлення для мікрокоду допоможе очистити буфери процесора при перевантаженні, запобігаючи читанню додатками не призначених для них даних.
У відеодемонстрації роботи вразливості дослідники показали, що вона може бути використана для того, щоб дізнатися, які веб-сайти відвідує людина в режимі реального часу, але так само легко застосувати, щоб отримати, наприклад, паролі або токени доступу, використовувані користувачами для платіжних систем.
Подібно до Meltdown і Spectre, ZombieLoad схильні не тільки ПК і ноутбуки, але і хмарні сервери. Вразливість можна використовувати на віртуальних машинах, які мають бути ізольовані від інших віртуальних систем та їх хост-пристроїв, щоб потенційно обійти цю ізоляцію. Так, Даніель Грусс (Daniel Gruss), один із дослідників, які відкрили вразливість, стверджує, що вона може зчитувати дані із серверних процесорів так само, як і на персональних комп'ютерах. Це потенційно серйозна проблема у хмарних середовищах, де віртуальні машини різних клієнтів працюють на одному серверному устаткуванні. Хоча про атаки з використанням ZombieLoad ніколи не повідомлялося публічно, дослідники не можуть виключити, що вони могли мати місце, оскільки не завжди крадіжка даних залишає за собою якісь сліди.
Що це означає для звичайного користувача? Немає потреби панікувати. Це далеко не експлойт або вразливість нульового дня, коли зловмисник може захопити ваш комп'ютер в одну мить. Грус пояснює, що застосувати ZombieLoad "легше, ніж Spectre", але "важче, ніж Meltdown" - і те й інше вимагає певного набору навичок та зусиль для використання в атаці. Фактично, для виконання атаки за допомогою ZombieLoad ви повинні якимсь чином завантажити заражений додаток і самостійно запустити його, тоді вразливість допоможе завантажити всі ваші дані. Тим не менш, є набагато простіші способи зламати комп'ютер і вкрасти їх.
Корпорація Intel вже випустила мікрокод для виправлення вразливих процесорів, включаючи чіпи Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake та Haswell, Intel Kaby Lake, Coffee Lake, Whiskey Lake та Cascade Lake, а також усі процесори Atom та Knights. Інші великі компанії також випустили виправлення уразливості зі свого боку. Apple, Microsoft та Google для свого браузера також вже випустили відповідні патчі.
В інтерв'ю для порталу TechCrunch Intel заявила, що оновлення для мікрокоду чіпів, як і попередні патчі, впливатимуть на продуктивність процесорів. Представник Intel повідомив, що більшість виправлених споживчих пристроїв можуть у найгіршому випадку втратити 3% продуктивності, і до 9% втрати становитимуть для дата-центрів. Але, на думку Intel, це навряд чи буде помітно у більшості сценаріїв.
Втім, з Intel зовсім не згодні інженери Apple, які на про метод повного захисту від "Microarchitectural Data Sampling" (офіційна назва ZombieLoad) стверджують, що для остаточного закриття вразливості потрібно повністю відключити в процесорах технологію Intel Hyper-Threading, що за тестами фахівців з Apple може знизити продуктивність користувацьких пристроїв в ряді завдань .
Ні Intel, ні Даніель та його команда не опублікували код, що реалізує вразливість, тому прямої та безпосередньої загрози для звичайного користувача немає. А оперативно випущені патчі нівелюють її повністю, але, враховуючи, що кожне таке виправлення коштує користувачами певних втрат у продуктивність, Intel виникають деякі питання.
Джерело: 3dnews.ru