閱讀筆記：Intel CPU 漏洞問題

整理一下這兩天的超大條資訊新聞 – Intel 這十年來製造的 CPU 都存在一個弱點，可能被攻擊者偷走存在記憶體裡的機密資料，不管你是用 Windows、Mac 還是 Linux 都會中獎，當今之計是靠更新作業系統補救，但要付出電腦變慢 5% – 30% 的代價。

Google Project Zero 團隊發現當今 CPU 採用的「推測執行」（speculative execution）技術有個漏洞，在最糟糕的情況下攻擊者可以任意讀取虛擬記憶體，這問題在 Intel、AMD、ARM 都可能存在[1]，只是受波及的型號不同[5]。去年 6 月發現後已通報 CPU 及作業系統廠商，但最近媒體及社群已開始報導及猜測，Google 決定提前公開。Google 歸納出三種變形漏洞，全球安全研究人員已協力完成六種攻擊概念驗證(PoC)，驗證攻擊者可以在 Linux 以一般使用者身分讀取 Intel Haswell Xeon 及 AMD PRO 核心虛擬記憶體；Meltdown 漏洞概念驗證示範打破應用程式彼此之間、程式與作業系統間的隔離界面，取得不該被讀取的資料；Spectre 漏洞概念驗證則展示突破不同應用程式的界限(A 程式去讀 B 程式的專屬資料)，實現難度高但更難防範。[5]

Intel 承認這十年來製造的 CPU 都有存在此一安全漏洞，Intel 主張 AMD、ARM 也可能會遭受類似攻擊，但 AMD 否認，主張其晶片設計與 Intel 不同遇到類似問題的機率為零。[2] 另外公開事件的研究人員也認為 AMD CPU 不受影響。[3]

在大型數據中心(雲端運用)此一漏洞顯得格外嚴重，原因是攻擊者可使用 A 帳號登入後看到客戶 B 帳號放在記憶體內的資料(個資、交易內容、密碼...) [3]，比起入侵單一主機更容易接觸到原本摸不到的資料，但能獲取什麼資訊要看攻擊當下記憶體內容而定，未必如想像中容易。

由於問題出在 CPU 硬體，全面召回換新是不可能的，故現今的解決之道是修改作業系統防堵(加入「內核隔離」功能)，Linux 已逐步修正，Windows 也已從去年 11 月起進行修補，而社群就是在 Linux 原始碼發現可疑調整消息才洩漏(基於安全，Linux 程式碼相關修改日誌已經打上馬賽克了) [3]，至於 Mac 的處理進度尚不清楚，但肯定不修不行。[4]  從作業系統層次加上防護的代價是電腦的執行效能將下降 5% - 30% 不等。

目前微軟已釋出 Windows 更新(Windows 10 將自動更新，Windows 7/8 需手動下載或等下週二更新)，大部分 Azure 服務也已經完成修補，有些服務則需要重啟 VM 才能生效。[6] macOS 則在去年 12 月的 10.13.2 版加入修補，Linux 也已釋出 KAISER 修正檔，以上更新主要都在防範 Meltdown 漏洞。至於 Spectre 漏洞的修補難度較高，各作業系統廠商仍在努力中。[7]

心得：
1) 未來幾個月網管會很忙(要更新的機器數量應該很驚人)
2) 所有使用 Intel CPU 的人要在電腦變慢跟資料被偷之間二選一

【參考資料】

1. Google：CPU漏洞影響不只英特爾，還有AMD與ARM – iThome
2. Intel認了CPU有安全漏洞 指AMD、ARM也有問題 - 財經 - 自由時報電子報
3. Intel 這次的漏洞不得了，微軟、蘋果都得改寫系統才能修 – TechOrange
4. 出大事了 英特爾CPU漏洞修復將削弱Mac性能
5. CPU「推測執行」漏洞已有6種概念性驗證攻擊出爐 – iThome
6. CPU漏洞：微軟釋出Windows、Azure安全更新 – iThome
7. 修復CPU重大設計漏洞 微軟Win 10、macOS、Linux推出更新 - UNWIRE.HK