閱讀筆記:Intel CPU 漏洞問題
1 |
整理一下這兩天的超大條資訊新聞 – Intel 這十年來製造的 CPU 都存在一個弱點,可能被攻擊者偷走存在記憶體裡的機密資料,不管你是用 Windows、Mac 還是 Linux 都會中獎,當今之計是靠更新作業系統補救,但要付出電腦變慢 5% – 30% 的代價。
Google Project Zero 團隊發現當今 CPU 採用的「推測執行」(speculative execution)技術有個漏洞,在最糟糕的情況下攻擊者可以任意讀取虛擬記憶體,這問題在 Intel、AMD、ARM 都可能存在[1],只是受波及的型號不同[5]。去年 6 月發現後已通報 CPU 及作業系統廠商,但最近媒體及社群已開始報導及猜測,Google 決定提前公開。Google 歸納出三種變形漏洞,全球安全研究人員已協力完成六種攻擊概念驗證(PoC),驗證攻擊者可以在 Linux 以一般使用者身分讀取 Intel Haswell Xeon 及 AMD PRO 核心虛擬記憶體;Meltdown 漏洞概念驗證示範打破應用程式彼此之間、程式與作業系統間的隔離界面,取得不該被讀取的資料;Spectre 漏洞概念驗證則展示突破不同應用程式的界限(A 程式去讀 B 程式的專屬資料),實現難度高但更難防範。[5]
Intel 承認這十年來製造的 CPU 都有存在此一安全漏洞,Intel 主張 AMD、ARM 也可能會遭受類似攻擊,但 AMD 否認,主張其晶片設計與 Intel 不同遇到類似問題的機率為零。[2] 另外公開事件的研究人員也認為 AMD CPU 不受影響。[3]
在大型數據中心(雲端運用)此一漏洞顯得格外嚴重,原因是攻擊者可使用 A 帳號登入後看到客戶 B 帳號放在記憶體內的資料(個資、交易內容、密碼...) [3],比起入侵單一主機更容易接觸到原本摸不到的資料,但能獲取什麼資訊要看攻擊當下記憶體內容而定,未必如想像中容易。
由於問題出在 CPU 硬體,全面召回換新是不可能的,故現今的解決之道是修改作業系統防堵(加入「內核隔離」功能),Linux 已逐步修正,Windows 也已從去年 11 月起進行修補,而社群就是在 Linux 原始碼發現可疑調整消息才洩漏(基於安全,Linux 程式碼相關修改日誌已經打上馬賽克了) [3],至於 Mac 的處理進度尚不清楚,但肯定不修不行。[4] 從作業系統層次加上防護的代價是電腦的執行效能將下降 5% - 30% 不等。
目前微軟已釋出 Windows 更新(Windows 10 將自動更新,Windows 7/8 需手動下載或等下週二更新),大部分 Azure 服務也已經完成修補,有些服務則需要重啟 VM 才能生效。[6] macOS 則在去年 12 月的 10.13.2 版加入修補,Linux 也已釋出 KAISER 修正檔,以上更新主要都在防範 Meltdown 漏洞。至於 Spectre 漏洞的修補難度較高,各作業系統廠商仍在努力中。[7]
心得:
1) 未來幾個月網管會很忙(要更新的機器數量應該很驚人)
2) 所有使用 Intel CPU 的人要在電腦變慢跟資料被偷之間二選一
【參考資料】
Comments
# by laiyc
Windows 的 patch https://www.techbang.com/posts/56063-attention-windows-users-avoid-intel-vulnerabilities-microsoft-releases-security-updates-kb4056892-please-download-quickly Linux 的 patch https://www.cyberciti.biz/faq/patch-meltdown-cpu-vulnerability-cve-2017-5754-linux/