整理一下這兩天的超大條資訊新聞 – Intel 這十年來製造的 CPU 都存在一個弱點,可能被攻擊者偷走存在記憶體裡的機密資料,不管你是用 Windows、Mac 還是 Linux 都會中獎,當今之計是靠更新作業系統補救,但要付出電腦變慢 5% – 30% 的代價。

Google Project Zero 團隊發現當今 CPU 採用的「推測執行」(speculative execution)技術有個漏洞,在最糟糕的情況下攻擊者可以任意讀取虛擬記憶體,這問題在 Intel、AMD、ARM 都可能存在[1],只是受波及的型號不同[5]。去年 6 月發現後已通報 CPU 及作業系統廠商,但最近媒體及社群已開始報導及猜測,Google 決定提前公開。Google 歸納出三種變形漏洞,全球安全研究人員已協力完成六種攻擊概念驗證(PoC),驗證攻擊者可以在 Linux 以一般使用者身分讀取 Intel Haswell Xeon 及 AMD PRO 核心虛擬記憶體;Meltdown 漏洞概念驗證示範打破應用程式彼此之間、程式與作業系統間的隔離界面,取得不該被讀取的資料;Spectre 漏洞概念驗證則展示突破不同應用程式的界限(A 程式去讀 B 程式的專屬資料),實現難度高但更難防範。[5]

Intel 承認這十年來製造的 CPU 都有存在此一安全漏洞,Intel 主張 AMD、ARM 也可能會遭受類似攻擊,但 AMD 否認,主張其晶片設計與 Intel 不同遇到類似問題的機率為零。[2] 另外公開事件的研究人員也認為 AMD CPU 不受影響。[3]

在大型數據中心(雲端運用)此一漏洞顯得格外嚴重,原因是攻擊者可使用 A 帳號登入後看到客戶 B 帳號放在記憶體內的資料(個資、交易內容、密碼...) [3],比起入侵單一主機更容易接觸到原本摸不到的資料,但能獲取什麼資訊要看攻擊當下記憶體內容而定,未必如想像中容易。

由於問題出在 CPU 硬體,全面召回換新是不可能的,故現今的解決之道是修改作業系統防堵(加入「內核隔離」功能),Linux 已逐步修正,Windows 也已從去年 11 月起進行修補,而社群就是在 Linux 原始碼發現可疑調整消息才洩漏(基於安全,Linux 程式碼相關修改日誌已經打上馬賽克了) [3],至於 Mac 的處理進度尚不清楚,但肯定不修不行。[4]  從作業系統層次加上防護的代價是電腦的執行效能將下降 5% - 30% 不等。

目前微軟已釋出 Windows 更新(Windows 10 將自動更新,Windows 7/8 需手動下載或等下週二更新),大部分 Azure 服務也已經完成修補,有些服務則需要重啟 VM 才能生效。[6] macOS 則在去年 12 月的 10.13.2 版加入修補,Linux 也已釋出 KAISER 修正檔,以上更新主要都在防範 Meltdown 漏洞。至於 Spectre 漏洞的修補難度較高,各作業系統廠商仍在努力中。[7]

心得:
1) 未來幾個月網管會很忙(要更新的機器數量應該很驚人)
2) 所有使用 Intel CPU 的人要在電腦變慢跟資料被偷之間二選一

【參考資料】

  1. Google:CPU漏洞影響不只英特爾,還有AMD與ARM – iThome
  2. Intel認了CPU有安全漏洞 指AMD、ARM也有問題 - 財經 - 自由時報電子報
  3. Intel 這次的漏洞不得了,微軟、蘋果都得改寫系統才能修 – TechOrange
  4. 出大事了 英特爾CPU漏洞修復將削弱Mac性能
  5. CPU「推測執行」漏洞已有6種概念性驗證攻擊出爐 – iThome
  6. CPU漏洞:微軟釋出Windows、Azure安全更新 – iThome
  7. 修復CPU重大設計漏洞 微軟Win 10、macOS、Linux推出更新 - UNWIRE.HK

Comments

# by laiyc

Windows 的 patch https://www.techbang.com/posts/56063-attention-windows-users-avoid-intel-vulnerabilities-microsoft-releases-security-updates-kb4056892-please-download-quickly Linux 的 patch https://www.cyberciti.biz/faq/patch-meltdown-cpu-vulnerability-cve-2017-5754-linux/

Post a comment