Знову ж таки, у більшості процесорів Intel були знайдені серйозні вразливості, тому цілком може бути, що це впливає і на вашу машину. Ми покажемо вам, яка небезпека і як ви можете захиститися.

Для Intel катастрофа процесорів Spectre and Meltdown 2018 року була лише початком, у травні 2019 року дослідники виявили ще чотири вразливості, які впливають на всіх користувачів. Уразливість, яка використовує апаратний збій, є однією з найнебезпечніших серед усіх, оскільки її дуже важко захистити, і в багатьох випадках атака залишається абсолютно непоміченою для користувача. Такі типи вразливостей можна простежити до недоліків дизайну та конструкції обладнання, лише дуже незначний відсоток яких можна виправити без негативних наслідків програмного забезпечення.

ZombieLoad та інші вразливості, які щойно були виявлені з ним, не можуть бути повністю виправлені програмним забезпеченням. Однак це важливо для всіх користувачів, оскільки атаки на їх основі можуть викрасти майже будь-яку інформацію з мобільного телефону, ноутбука, настільного ПК або навіть сервера, що працює в захищеному віртуалізованому середовищі. У нашій статті ми представимо нові вразливі місця, як вони працюють, і допоможемо з’ясувати, чи це впливає на вашу машину. Нарешті, ми надаємо поради щодо виправлення вразливості або принаймні мінімізації кількості успішних атак.

Високі проблеми

Spectre і Meltdown - це дві апаратні вразливості, які вибухнули як бомба півтора роки тому. Ці помилки вплинули на декілька процесорів, включаючи процесори Intel і AMD, але навіть мобільні SoC на базі ARM. Тоді всі постачальники одразу взялися за виправлення і за порівняно короткий проміжок часу зуміли створити складний апаратний та програмний захист. Вже тоді це відкриття найбільше постраждало від Intel, і системи з процесорами Intel Core сповільнились на кілька відсотків через виправлення.

Щойно виявлені помилки схожі на попередників Meltdown та Spectre, але ще більш небезпечні, але трапляються лише в системах Intel. Зловмисники можуть отримати будь-яку особисту інформацію, включаючи найбільш зашифровану інформацію, і ні програмне забезпечення безпеки, ні користувач не помітять крадіжки.

загрожує

Нові недоліки вперше стали відомими Intel влітку 2018 року, всього рік тому, і були виявлені незалежно декількома університетськими дослідницькими групами та охоронними компаніями. Потім Intel попросила про конфіденційність, тому настав час розробити правильний захист. Принаймні рік - це досить довгий час, але, на жаль, насправді, за винятком виправлень для операційних систем, небагато виробників ПК та материнських плат вчасно зробили правильні оновлення BIOS.

Ось як працює ZombieLoad

Найкрасномовніше ім'я було дано головній вразливості - ZombieLoad, яку можна перекласти на угорську мову як завантаження зомбі. З цим пов'язано три інші помилки, які називаються Fallout, RIDL-MLPDS та RIDL-MDSUM (останні два розглядаються разом як RIDL).

Уразливість, виявлена ​​у всіх процесорах Intel, випущених після 2011 року, знаходиться в модулі спекулятивного виконання і спільно називається атаками MDS (Microarchitectural Data Sampling). Це відповідає за вгадування продовження поточного програмного коду, виконання заздалегідь визначених операцій із програми, щоб вони були готові тоді, коли вони насправді потрібні. Зловмисник може здійснити так звану атаку бічних каналів, націлену на цей модуль, і тоді навантаження зомбі завантажить надзвичайно великий обсяг даних на процесор Intel. Як результат, контрольний мікрокод виходить з ладу, і правильно написаний шкідливий код отримує уявлення про спочатку герметично закриті буфери ЦП. Інші програми можуть зберігати паролі, веб-адреси, ключі, облікові дані тощо. Все це дуже важко виявити антивірусному програмному забезпеченню, навіть на поведінковій основі, оскільки атаку MDS можна легко замаскувати під звичайний програмний код, і вона не атакує програмне забезпечення, лише апаратне забезпечення.

Атака може залишитися непоміченою, просто читаючи ці регістри та буфери, не змінюючи дані. Побоює те, що в цьому випадку не має значення, на якому рівні дозволу працює код, зловмисник має доступ до всіх даних і може зберегти їх у вказаному ним місці.

Ви можете продовжувати використовувати машину, заражену ZombieLoad, таким же чином, без помітного уповільнення, інфекція навіть не призведе до її замерзання. Поки ви працюєте, переглядаєте або граєте на своїй машині, зловмисник не робить нічого, крім як сидіти склавши руки та контролювати (зазвичай зберігати у файлі журналу) дані, отримані з буферів. Більша частина цього, безсумнівно, буде зайвою, незрозумілою інформацією, доки ви не введете десь свій пароль, не запишете важливу приватну інформацію або, наприклад, програма не надішле маркер автентифікації іншому провайдеру. Вони можуть бути врятовані зловмисником за лічені секунди за допомогою відповідних програм, і ви можете скористатися ними відразу. Інші вразливості, про які повідомляється на додаток до ZombieLoad, мають подібну структуру та поведінку, але вони атакують різні буфери і навіть можуть писати в пам'ять. Наприклад, Fallout може обійти та зламати завантаження з випадкової адреси, яка вважається безпечною (KASLR - рандомізація макета адресного простору ядра).

Кожна людина - жертва

З експлуатації нових варіантів атак видно, що дуже складно завдання написати відповідний код атаки, а потім обробити та використовувати отримані дані. Створення програми для успішного крадіжки даних та атак вимагає величезної енергії та блискучої роботи з програмування, тому важко уявити, що це буде основою загальної глобальної атаки, що загрожує мільйонам або сотням мільйонів пристроїв. Це дещо заспокоює, тобто нам не потрібно боятися негайної, всеохоплюючої атаки ZombieLoad або Fallout.

ZombieLoad, RIDL і Fallout, навпаки, є ідеальною основою для так званої високопрофільної атаки, тобто коли хакери спеціально націлюють атаку на конкретну особу або пристрій і витягують з них інформацію. Ціллю таких атак, як правило, є впливова особа, можливо, офісна корпоративна машина або спеціально захищений сервер - аж ніяк не незначний домашній клієнтський ПК. Ті, хто голосував за платформу AMD, коли їх востаннє купували або модернізували, тепер можуть зітхнути з полегшенням, оскільки процесори AMD не постраждали від останніх виявлених вразливостей.

Однак факт, що ніхто не в безпеці, саме тому, що ці фокуси можна використовувати для успішного вилучення захищених даних навіть із самого безпечного (як вважають) сервера. Наприклад, якщо зловмисник отримує доступ до більшого сервера, що працює на декількох окремих віртуальних машинах, він може перейти до інших віртуальних середовищ, що працюють паралельно, з яких він може отримати майже будь-які дані.

Користувачі мобільних пристроїв також не в повній безпеці, досить подумати про планшети, смарт-пристрої та гібридні машини на базі Intel Atom, якими все ще користуються багато. Усі вони вразливі до атак ZombieLoad, RIDL або Fallout. Оскільки мова йде про апаратну помилку, тип операційної системи не має значення: помилка стосується всіх Mac, ПК з ОС Windows, машин з Linux та Chromebook. Єдина умова - машина повинна мати процесор Intel, виготовлений у 2011 році або пізніше. Найновіші моделі 9-го покоління Intel вже мають апаратний захист від вразливості Meltdown, що, як ви справедливо вважаєте, ефективно проти інших подібних атак. На жаль, це не так, і навіть ці нові процесори ще легше зламати, використовуючи нові уразливості.

Для кроків захисту перейдіть на наступну сторінку статті, натисніть кнопку 2 нижче!